7 de agosto 2018

AppSec: escaneo binario vs. código fuente

La discusión en torno a cuál es superior (escaneo binario o de código fuente) ha plagado el mercado del análisis estático desde su inicio. Un escáner de código fuente analiza el código no compilado, mientras que un escáner binario analiza el código compilado, pero al final, el resultado es el mismo. Simplemente son dos soluciones de ingeniería para el mismo problema. Sin embargo, como parte fundamental de los enfoques de los proveedores de SAST, es un área que las organizaciones deben considerar en su proceso de selección.

Durante este debate de una década de duración, se han perpetuado mitos para ambos métodos, haciendo que las concesiones sean más difíciles de analizar. En última instancia, el análisis omite los componentes básicos necesarios para defender un programa AppSec completo , como la escalabilidad, la eficiencia y las personas, procesos y programas necesarios para respaldar a un equipo AppSec exitoso. En este blog, el objetivo es aclarar algunos de los mitos que rodean el análisis binario, aclarar por qué CA Veracode optó por este método y compartirte los datos que necesitas durante el proceso de evaluación de tu organización. 

Mito 1: Compilar código lleva más tiempo y produce resultados menos precisos

La diferencia más obvia entre un código fuente y un escáner binario es que el escáner binario requiere compilar el código antes del escaneo, lo que cambia la estructura del código eliminando el código inactivo y agrega un paso en el proceso de prueba en comparación con el escaneo del código fuente. A primera vista, esto puede parecer menos seguro ya que no está probando todo el código, y es menos eficiente ya que cualquier paso adicional lleva más tiempo. Sin embargo, el código de compilación es un paso obligatorio, ya sea antes o después de las pruebas de seguridad, ya que para poder ejecutar en producción, se debe compilar una aplicación. De modo que la pregunta fundamental es la visibilidad de las vulnerabilidades que proporciona el código fuente de exploración frente a los binarios de exploración, y la velocidad a la que un proveedor puede ayudarlo a identificar y remediar estas vulnerabilidades.

 

Mito 2: El escaneo del código fuente significa que puede escanear antes e integrar las pruebas de seguridad que quedan en SDLC

Una de las ideas erróneas más importantes es que escanear fragmentos de código es propiedad de los escáners de código fuente porque no compilan código y, por lo tanto, pueden escanear antes en el proceso de desarrollo. El impacto del escaneo previo significa que puede encontrar vulnerabilidades antes y reducir el tiempo para corregir los errores más adelante en la producción. Sin embargo, integrar más a la izquierda en el SDLC y escanear antes no depende de si está escaneando el código fuente o los binarios, sino la tecnología y las integraciones que proporciona tu proveedor de análisis estático para permitir a los desarrolladores descubrir y corregir errores. 

Para ayudar a las organizaciones a escanear antes y automatizar los procesos, Veracode brinda más de 24 integraciones desde el primer momento a las herramientas en SDLC, lo que significa que los desarrolladores pueden iniciar exploraciones sin problemas en la plataforma CA Veracode o a través de su canal IDE o CI / CD. Estas integraciones ajustadas en todo el SDLC han resultado en una reducción de hasta 90 por ciento o más en los costos de reparación para nuestros clientes. 

CA Veracode ha estado administrando programas de AppSec durante más de una década para más de 1,700 clientes. Como resultado, Veracode a  tomado decisiones de diseño para optimizar la solución y brindar información procesable sobre los defectos encontrados, tales como:

  • 1. CA Veracode Greenlight : desde la primera línea de código, Greenlight proporciona comentarios a los desarrolladores en tan solo 3 segundos, directamente en su IDE. Esto es lo más rápido y temprano que se puede obtener con el análisis estático. 
  • 2. Developer Sandbox : en cualquier momento, los desarrolladores pueden realizar pruebas en el Sandbox del desarrollador sin inspección, lo que mejora la tasa de reparación en un promedio del 48.2 por ciento.
  •  
  • 3. Retroalimentación en línea y priorización de fallas: para corregir fallas rápidamente, el escáner binario brinda asesoramiento de remediación en línea y herramientas de aprendizaje electrónico alineadas con vulnerabilidades específicas. Además, los desarrolladores pueden aprovechar la «vista de corregir primero» para encontrar dónde las correcciones pueden tener el mayor impacto o incluso corregir múltiples errores a la vez. Usando el enfoque de CA Veracode, los equipos de desarrollo arreglan más de 2.5x el número promedio de fallas por megabyte.

 En Arame junto con Veracode tenemos el enfoque de no solo en encontrar errores rápidamente, sino también garantizar que las organizaciones puedan reparar vulnerabilidades rápidamente, lo que ha ayudado a los profesionales a reducir el tiempo total para remediar vulnerabilidades.

Veracode, escanea los archivos binarios porque esto permite a los profesionales capitalizar de forma segura el poder de la plataforma SaaS y los servicios bajo demanda. La plataforma CA Veracode ha escaneado decenas de miles de aplicaciones empresariales, móviles y basadas en la nube, y el enfoque único de remediación ha ayudado a los clientes a solucionar más de 35 millones de fallas. El enfoque basado en SaaS significa valor inmediato, mejoras más rápidas, mayor precisión y la capacidad de crear más software, de forma más segura que nunca.

Obtén más información sobre la Plataforma de seguridad de aplicaciones de CA Veracode en este eBook, o escríbenos para solicitar una demostración de la plataforma de forma gratuita.

 

  •  ¿Qué te pareció este artículo? Cuéntanoslo en los comentarios.

Este artículo fue tomado de Veracode  partner de Arame.  [1] https://www.veracode.com/blog/intro-appsec/appsec-buyers%E2%80%99-insights-binary-vs-source-code-scanning

Síguienos en nuestras redes sociales