Home   Blog   TIP 15 – CA Technologies adquiere SourceClear para potenciar a Veracode

TIP 15 – CA Technologies adquiere SourceClear para potenciar a Veracode

TIP 15

Los clientes se esfuerzan al máximo en la forma de mecanizar su fábrica interna de software para hacer que el software sea mejor, más rápido y más eficiente. Esos objetivos también están impulsando un mayor uso de las bibliotecas de código abierto. Esto ahorra tiempo a los desarrolladores, acorta el tiempo de lanzamiento al mercado y reduce la ineficiencia que proviene de la reescritura del código para una funcionalidad que alguien más ya ha creado. Pero como hemos visto con incumplimientos recientes, las bibliotecas de código abierto vienen con una serie de riesgos. Cuando examinamos la seguridad de los componentes de software de código abierto como parte de nuestro análisis de aplicaciones Java, el 88% tenía al menos una vulnerabilidad basada en componentes.

Para abordar este problema de riesgo de código abierto, nos complace anunciar la adquisición de SourceClear, un líder tecnológico con innovaciones revolucionarias en el análisis de composición de software (SCA) y fundado por Mark Curphey, el creador de OWASP. SourceClear ofrece una herramienta de análisis de composición de software basada en SaaS, que se basa en una base de datos de vulnerabilidades patentada que va mucho más allá del NVD y una tecnología de métodos vulnerables única que aumenta la capacidad de acción de los resultados de SCA.  Con la adquisición de SourceClear, se combina seguridad, productividad y eficiencia a la forma en que los desarrolladores usan y prueban bibliotecas de código abierto, para que nuestros clientes puedan usar bibliotecas de código abierto para acelerar el desarrollo de software sin agregar riesgo no administrado.

La solución SCA de SourceClear no solo le dice qué aplicaciones tienen un componente vulnerable, sino que le dice si se está utilizando o no la funcionalidad, algo que ninguna otra solución de SCA puede ofrecer. Esto reduce en gran medida los falsos positivos relacionados con las funciones que existen en la biblioteca de código abierto, pero no presentan ningún riesgo práctico porque no son utilizados por la aplicación. También permite a los desarrolladores priorizar qué componentes reparar, ahorrando tiempo y reduciendo el riesgo.

En algunos casos, las vulnerabilidades que causan infracciones son bien conocidas y documentadas. Pero en otros casos, no están incluidas en la Base de Datos Nacional de Vulnerabilidades. Y con el número de bibliotecas de código abierto que aumentan, puede ser difícil para las empresas realizar un seguimiento de qué componente y qué versión son seguros. SourceClear hizo los cálculos y estima que la creación de nuevas bibliotecas continúa al mismo ritmo, habrá casi medio billón de bibliotecas de código abierto disponibles para los desarrolladores dentro de una década. SourceClear aborda este desafío también. Además de hacer un seguimiento de las fuentes públicas, como CVE, SourceClear, observa miles de buscadores de errores y analiza los registros de cambios de bibliotecas populares. Como resultado, los clientes incluso pueden encontrar vulnerabilidades que no han sido reportadas a NVD. Cada problema incluye información de arreglos preceptivos, muchos de los cuales pueden automatizarse para aumentar la velocidad.

A futuro se planea integrar la tecnología de SourceClear en la plataforma en la nube de Veracode. Esta adquisición es excelente para nuestros clientes en términos de mayor soporte para SCA en entornos DevSecOps y la capacidad de usar con seguridad componentes de código abierto sin introducir riesgos innecesarios.

Referencia del artículo: CA Technologies adquiere SourceClear, avanzando las capacidades de SCA para un mundo DevSecOps: “https://www.veracode.com/blog/security-news/ca-technologies-acquires-sourceclear-advancing-sca-capabilities-devsecops-world”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *