ほとんどのセキュリティ・ツールは開発者の時間を浪費している。我々はこれを解決する使命を担っている。
アプリケーション開発者は、セキュリティを気にするために給料をもらっているわけではない。彼らのパフォーマンスは、新機能や機能強化を通じてビジネスに付加価値を与えるスピードによって評価される。
そのため、従来のセキュリティ・ツールは開発者のために作られていないため、邪魔な存在になっている。セキュリティ・アラートの膨大なリストを表示するだけで、あとは開発者が考えるしかないのだ。
合気道 Aikidoでは、アプリケーションのセキュリティ確保を可能な限り迅速かつ容易にすることを使命としており、その最も重要な方法の一つが、開発者の時間を浪費しセキュリティ修正のリリース遅延を引き起こノイズ 検知を減らすことです。
この投稿では、合気道とは何かをお見せします Aikido が、アラート疲れ 悩む開発者たちにどのような解決策を提供するのかをご紹介します。
ノイズの低減
ケニー・ロジャースの有名な歌『ギャンブラー』は、それをうまく表現している:
"生き残る秘訣は、何を捨て、何を残すかを知っていることだ"
ノイズ 最も大きな影響を与える方法は、開発者にアクションを必要とするCVEとセキュリティアラートのみを表示し、残りは無視することです。
以下がその方法です Aikido が、無関係なセキュリティ警告やCVEを賢く無視する仕組み:
開発専用依存関係
デフォルトでは、 Aikido は、開発環境でのみインストールが依存関係 脆弱性を報告しません。これらはステージング環境や本番環境には存在すべきではないためです。
無効なCVEまたは修正のないCVE
修正のないCVEを公開するのは単なる気晴らしに過ぎない。したがって、 Aikido は、修正が利用可能になるまでこれらの問題を一時的に無視リストに移動し、ダッシュボードに表示される前に処理します。
到達不能コード
Aikidoのコードインテリジェンスおよび到達可能性エンジンは、脆弱な関数がコードベース内で呼び出されていない場合、CVEを無視します。
これによりノイズが減少します。特にTensorFlowのような多数の依存関係を持つ大規模ライブラリにおいて顕著です。
失効または取り消されたシークレット
Aikidoはすでに無効な秘密情報や、単なる変数名と思われるものは、自動的に無視されるため、不要なアラートが発生しません。Aikidoは秘密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。
マニュアル無視ルール
設定できます Aikido 特定の条件下で脆弱性を無視するように設定できます。例えば、リポジトリ内の特定のパスに関する報告を無視するように設定できます。
重複除去
多くの企業はセキュリティ基盤を複数の異なるソースから寄せ集めて構築しているため、複数のシステムが同じアラートやCVEを検出することは珍しくありません。さらに、従来のツールでは単一のリポジトリ内で同じCVEが複数回検出されることもよくあります。まさにノイズ嵐です!
なぜなら Aikido は、あらゆるセキュリティ問題を単一の画面で管理できるオールインワンプラットフォームであるため、各リポジトリに対して単一のCVEアラートが表示され、サブ問題として脆弱性位置情報が一覧表示されます。
文脈に応じた感度調整でシグナルを高める
機密データを扱うリポジトリで発見されたセキュリティ問題は、データをまったく保存しない内部だけのリポジトリとは異なる方法で採点されるべきである。
Aikido は各リポジトリに対して様々な文脈的指標を提供し、より多くのセキュリティリスクを発見し、問題の最終的な深刻度スコアを適切に評価するのに役立ちます。
例えば、ドメイン名を追加することで、 Aikido は、SSL脆弱性、クッキー設定の不備、CSP(クロスサイトスクリプティング防止)の適用有無、クロスサイトスクリプティング(XSS)攻撃などの問題を対象としたスキャンを実行できます。
その他の文脈的な例としては、アプリケーションがインターネットにアクセスできるかどうかや、アプリケーションがどのような環境で展開されているかなどがある。
搾取リスクのシグナルを高める
Aikido リアルタイム指標を用いて、CVEが実際に悪用される確率を追跡します。具体的には、悪用の確認事例、エクスプロイト方法を公開したコード、および顧客固有のクラウドインフラストラクチャ上の懸念事項(特に脆弱性を高める可能性のあるもの)などが含まれます。
そしてなぜなら Aikido はコードとクラウドインフラの両方を監視するため、アプリケーションがホストされる特定の条件下で発生する「有害な組み合わせ」問題の深刻度を高める可能性があります。例えば、IMDSAPI を使用するAWSインスタンスは、AWS認証情報を漏洩させる可能性のあるSSRF攻撃に対してより脆弱です。
概要
従来のセキュリティツールは、開発者の生産性を気にしない。偽陽性の山にリポジトリを埋没させ、実際にセキュリティ問題を解決するために費やすことができたはずの開発者の時間を浪費させることに満足しているのだ。
合気道とは何か Aikido が異なる点は、開発者の生産性とセキュリティの関連性を認識していることです。無関係なアラートやCVEを除去することで、真の脅威により多くの注意が向けられ、結果として修正がより迅速に適用されるのです。
開発者とセキュリティの双方にとってのメリットこそが私たちの本質であり、お客様が抱えるセキュリティアラート疲れ 解消する方法なのです。
実際に使ってみませんか?サインアップして最初のレポをスキャンし、2分以内に最初の結果を得ましょう。
今すぐソフトウェアを保護しましょう
.jpg)
