ほとんどのセキュリティ・ツールは開発者の時間を浪費している。我々はこれを解決する使命を担っている。
アプリケーション開発者は、セキュリティを気にするために給料をもらっているわけではない。彼らのパフォーマンスは、新機能や機能強化を通じてビジネスに付加価値を与えるスピードによって評価される。
そのため、従来のセキュリティ・ツールは開発者のために作られていないため、邪魔な存在になっている。セキュリティ・アラートの膨大なリストを表示するだけで、あとは開発者が考えるしかないのだ。
Aikido使命は、アプリケーションのセキュリティをできるだけ迅速かつ容易にすることであり、そのための最も重要な方法の1つは、開発者の時間を浪費し、セキュリティ修正プログラムの出荷を遅らせる原因となるノイズや偽陽性を減らすことです。
この記事では、アラート疲労症候群に苦しむ開発者にAikido どのような治療を提供しているかを紹介する。
ノイズを減らす
ケニー・ロジャースの有名な歌『ギャンブラー』は、それをうまく表現している:
"生き残る秘訣は、何を捨て、何を残すかを知っていることだ"
S/N比に最も大きな影響を与えることができるのは、開発者が行動を起こすべきCVEとセキュリティ警告だけを表示し、それ以外は無視することです。
ここでは、Aikido 無関係なセキュリティ警告やCVEをインテリジェントに無視する方法を紹介する:
開発のみの依存関係
デフォルトでは、Aikido は開発環境にのみインストールするようマークされた依存関係については、ステージング環境や本番環境には存在しないはずなので、脆弱性を報告しません。
無効なCVEまたは修正のないCVE
修正のないCVEを表示することは、単なる目くらましです。そのため、Aikido 、ダッシュボードに表示する前に、修正プログラムが利用可能になるまで、これらの問題を一時的に無視される問題のリストに移動します。
到達不能コード
Aikidoコード・インテリジェンスと到達可能性エンジンは、コード・ベースに脆弱な関数が呼び出されていなければ、CVEを無視する。
これにより、特にTensorFlowのような依存関係の多い大規模なライブラリのノイズが減少する。
期限切れまたは失効した秘密
Aikido 、期限切れや失効が確認された秘密、あるいは変数と思われる秘密を無視します。Aikido 、機密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。
マニュアル無視ルール
特定の条件下で脆弱性を無視するようにAikido 設定することができます。例えば、リポジトリ内の特定のパスの報告を無視することができます。
重複除去
ほとんどの企業は、複数の異なるソースからセキュリティ・インフラを組み合わせているため、複数のシステムで同じアラートやCVEが表示されることはよくあることです。さらに、従来のツールでは、1つのリポジトリ内で同じCVEが複数回表示されることもよくあります。ノイズについて話そう!
Aikido 、すべてのセキュリティ問題を単一のガラスペインで提供するオールインワン・プラットフォームであるため、各脆弱性の場所を一覧表示するサブ問題を含む各リポジトリの単一のCVEアラートのみが表示されます。
文脈に応じた感度調整でシグナルを高める
機密データを扱うリポジトリで発見されたセキュリティ問題は、データをまったく保存しない内部だけのリポジトリとは異なる方法で採点されるべきである。
Aikido 、各リポジトリに対して様々なコンテキスト指標を提供し、より多くのセキュリティリスクを発見し、問題の最終的な重大度スコアに適切な重み付けを行うことを支援する。
例えば、ドメイン名を追加することで、Aikido 、SSLの脆弱性、クッキーの誤設定、CSPが適用されている場合、クロスサイト・スクリプティング(XSS)攻撃などの問題を対象としたスキャンを実行することができる。
その他の文脈的な例としては、アプリケーションがインターネットにアクセスできるかどうかや、アプリケーションがどのような環境で展開されているかなどがある。
搾取リスクのシグナルを高める
Aikido 、リアルタイム指標を使用して、悪用の確認事例、悪用の実行方法を文書化した公開コード、特に脆弱となる可能性のある顧客固有のクラウドインフラストラクチャの懸念事項など、CVEが悪用される可能性を追跡する。
例えば、IMDS APIバージョン1を使用しているAWSインスタンスは、Aikido 認証情報を公開するSSRFエクスプロイトに対してより脆弱です。
概要
従来のセキュリティツールは、開発者の生産性を気にしない。偽陽性の山にリポジトリを埋没させ、実際にセキュリティ問題を解決するために費やすことができたはずの開発者の時間を浪費させることに満足しているのだ。
Aikido 他と違うのは、開発者の生産性とセキュリティの関連性に着目している点です。無関係なアラートやCVEを削除することで、本物の脅威がより注目されるようになり、その結果、修正がより迅速に適用されるようになります。
開発者とセキュリティの双方にメリットがあるこの方法こそ、私たちが目指しているものであり、お客様のセキュリティ・アラート疲労症候群を治療する方法なのです。
実際に使ってみませんか?サインアップして最初のレポをスキャンし、2分以内に最初の結果を得ましょう。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
