[05/04/2023] El proveedor de aplicaciones de ciberseguridad Snyk ha añadido nuevas funciones a su plataforma de seguridad para desarrolladores con el fin de mejorar la productividad de la programación y ayudar a proteger las cadenas de suministro de software.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La serie de mejoras de la plataforma homónima de Snyk incluye soporte de seguridad para aplicaciones C/C++, nuevas capacidades para infraestructura como código (IaC), seguridad automatizada para cadenas de suministro de contenedores y nuevas funciones de colaboración devsecops.
Mediante un motor propio basado en inteligencia artificial, Snyk analiza los códigos C/C++ en desarrollo para identificar todas las dependencias de código abierto, las vulnerabilidades asociadas y los problemas de cumplimiento de licencias. La nueva capacidad ofrece funciones para ayudar a los desarrolladores a identificar y solucionar problemas mientras codifican.
Las nuevas funciones de soporte incluyen lecciones de Snyk Learn para ayudar a los desarrolladores de C/C++ a corregir el código copiado manualmente en las aplicaciones. El objetivo es ayudar a reforzar la seguridad de los desarrolladores de aplicaciones de escritorio, servidor y web por igual.
"C/C++ sigue siendo uno de los 10 lenguajes de programación más utilizados en la actualidad", afirma Story Tweedie-Yates, responsable de marketing de productos de KSOC, una empresa de ciberseguridad centrada en la infraestructura de contenedores. "En términos de nuevas aplicaciones, es el más dominante en la industria de los juegos (porque tiene un gran rendimiento en tiempo real) y en términos de software más antiguo está por detrás de la mayoría de las principales aplicaciones de software como los navegadores web o Adobe. Así que la incorporación de soporte para aplicaciones C/C++ no es insignificante".
Entre los lenguajes admitidos actualmente por Snyk se encuentran Python, Java, JavaScript, Go, php y .Net.
La actualización de Snyk también incluye integraciones con nuevos productos devsecops de proveedores como AWS, ServiceNow, Jira y Dynatrace. Snyk se ha integrado con la aplicación Vulnerability Response de ServiceNow y con AWS CloudTrail Lake -ambas herramientas de visibilidad de cargas de trabajo en la nube- para ayudar a reforzar la postura de seguridad de las cadenas de suministro de software empresarial.
Seguridad de las aplicaciones en la nube con IaC
Snyk también ha mejorado Snyk IaC con funciones específicas para la nube, que vinculan automáticamente los recursos en ejecución en la nube a una plantilla de origen IaC, un modelo de infraestructura de código. Esto permitirá a los equipos de seguridad rastrear un problema concreto en la nube hasta su código fuente y notificarlo al equipo adecuado para solucionarlo.
Aunque las nuevas funciones son importantes para corregir errores de configuración en el nivel de IaC, no pueden sustituir a la gestión de la postura de seguridad en la nube (CSPM) para los recursos en la nube. Mientras que el IaC puede considerarse un plano arquitectónico, la CSPM protege el edificio en sí, explica Yates.
"Con IaC, se asegura de que todo el proyecto encaja para crear un gran plan. Con CSPM, se cierran las ventanas que han quedado abiertas en el edificio construido a partir de ese plano", añade Yates.
En la analogía, la mejora de Snyk rastrea una ventana construida con forma incorrecta en el edificio real hasta el lugar exacto del plano donde se trazó y lo arregla allí, explicó Yates.
Snyk Container también ha recibido una actualización, ofreciendo soporte mejorado para "imágenes doradas", que se refieren a bases de contenedores estandarizadas y preconfiguradas utilizadas para el despliegue de múltiples instancias de una aplicación o servicio. Las imágenes doradas son una herramienta importante para la gestión de despliegues de contenedores, ya que proporcionan un proceso de despliegue coherente y repetible que puede automatizarse fácilmente.
El soporte ampliado a estas imágenes doradas tiene "bastante atractivo de nicho", ya que el desarrollo de las imágenes lleva mucho tiempo, a veces años, y sólo lo realizan las organizaciones devops más maduras, según Yates.
Snyk tiene distintos precios: un plan gratuito desbloquea un número determinado de tipos de pruebas de seguridad para IaC y dependencias de código abierto, código de desarrolladores y contenedores; las versiones Team y Enterprise, que cuestan a partir de 52 dólares por usuario, tienen capacidades ilimitadas de pruebas para distintos tipos de código y dependencias de código abierto; y un nivel personalizado, de pago por uso, está dirigido a empresas con desarrolladores que quieren acceder a distintos módulos.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú