[15/09/2022] La empresa de Devsecops AutoRabit está tratando de resolver los problemas de seguridad derivados de los cambios de políticas y las malas configuraciones en los entornos de Salesforce con una nueva oferta, CodeScan Shield.
CodeScan Shield es la siguiente iteración de la herramienta de análisis de código estático de AutoRabit, CodeScan, y eleva las capacidades de CodeScan con la ayuda de un nuevo módulo llamado OrgScan. El nuevo módulo gobierna las políticas de la organización aplicando las normas de seguridad y de cumplimiento de la normativa para los entornos de Salesforce.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Con OrgScan, se crea un panel de control al final de cada escaneo y se identifican las áreas de preocupación. Esto devuelve el control a las manos de la organización, ahorrando tiempo y dinero, señaló la compañía.
"Es importante reconocer que normalmente hay al menos tres grupos implicados en el mantenimiento de la seguridad en las organizaciones", sostuvo Eric Pearson, vicepresidente regional para las cuentas empresariales de América del Norte y del Sur en AutoRabit. "Está la organización de desarrollo, la organización de gestión de versiones para construir y liberar las aplicaciones que construyen. Pero también están los administradores de sistemas de Salesforce, que son responsables de todo, desde el acceso de los usuarios, la gestión de las sesiones y otros aspectos de la seguridad de Salesforce. Y tenemos a InfoSec, que se preocupa mucho por los datos, la privacidad, etc.".
Pearson señaló que a menudo estos diferentes grupos de seguridad permanecen en silos. "Lo que hemos intentado hacer con CodeScan Shield es empezar a reunir a estos diferentes grupos y ayudar a automatizarlos en un sistema de gestión de políticas, desde los privilegios de los administradores, la gestión de sesiones, el acceso de los usuarios, etc. Y garantizar que este tipo de reglas se incorporen antes a los ciclos de desarrollo y gestión de versiones, de modo que ayudemos a los clientes no solo a desplazarse a la izquierda, sino a hacer de la seguridad el punto central de cualquier solución de desarrollo y operaciones", afirma.
CodeScan Shield permite a los administradores y desarrolladores escanear los perfiles de Salesforce, los conjuntos de permisos, la configuración de los usuarios, la configuración de las sesiones, etc. Los usuarios pueden comprobar el cumplimiento al 100% de las políticas nativas y personalizadas de Salesforce, apoyando los estándares de cumplimiento normativo. La interfaz sin código de OrgScan puede utilizarse sin necesidad de tener amplios conocimientos de codificación, según la empresa.
CodeScan Shield apunta a la seguridad de las aplicaciones de Salesforce
Mientras que la herramienta insignia de AutoRabit, CodeScan, es una herramienta de análisis de código estático, CodeScan Shield rastrea dinámicamente el código para comprobar cualquier vulnerabilidad introducida accidentalmente, debido a que aborda activamente los problemas de seguridad que puedan surgir en las diferentes etapas de desarrollo.
"CodeScan Shield no comprueba si el código funciona per se", sostuvo Pearson. "Lo que busca es si se ha introducido accidentalmente una vulnerabilidad en el código. ¿Existe una forma de entrar por la puerta trasera y obtener datos? ¿Hay una forma de entrar por la puerta trasera y hackear la experiencia del usuario? Busca aportar una barrera de protección a su código al mismo tiempo, y por separado, hay áreas de control que Salesforce concede a través de su capa de seguridad, los perfiles correctos ayudan a restringir la información, restringen dónde tienes acceso a los conjuntos de permisos van justo al revés, conceden a los usuarios un control adicional por encima de lo que su perfil les permite hacer".
Pearson explicó cómo los múltiples perfiles personalizados en el entorno de Salesforce pueden dar lugar a datos modificados que podrían tener políticas totalmente diferentes. Por ejemplo, mientras que la política dicta que la contraseña debe caducar cada mes, los datos modificados podrían establecer que no caduque nunca, haciendo que el código sea vulnerable.
"Lo que queremos hacer con OrgScan es ayudarle a establecer cómo debe ser su política, cuántos perfiles personalizados deben tener datos modificados, o cuántos perfiles, si los hay, deben establecer que la contraseña no caduque nunca y cuáles deben ser. CodeScan Shield señalará entonces cualquier infracción de sus políticas de datos principales", anotó Pearson. "Se asegura de que los equipos de desarrollo sigan las directrices y los mandatos establecidos por InfoSec y la Administración de Sistemas. Algo realmente difícil de hacer cuando no tienes esas dos cosas trabajando juntas".
Basado en el artículo de Varun Aggarwal (CSO) y editado por CIO Perú