1

¿Dudas sobre su código? Veracode de Makros identifica vulnerabilidades

La experiencia de Makros avala esta solución que le permite blindar su gestión ante posibles ataques desde el software que utiliza para sus tareas.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Atrás quedaron los días en que los usuarios de algún sistema operativo o marca de dispositivos en particular creían que estaban a salvo de malware.

Peor aún: ahora sabemos que los piratas identifican software “popular” entre las empresas y crean troyanos, bot y otros recursos para infiltrarse por vulnerabilidades en esos software. Aunque sean propietario.

La expresión “nadie está a salvo” ya no forma parte de los thriller de la literatura o cinematografía sino del día a día de la ciberseguridad. Por supuesto, frente a estos grandes males, la industria también fortalece sus defensas.

En particular, las empresas que producen software o que tienen proyectos propios se encuentran con que pueden estar dejando (involuntariamente) migas o pequeñas brechas que, en algún momento, serán usadas tanto en contra de sus clientes como de su reputación.

Una de esas respuestas es la solución de ciberseguridad SAST (Static Application Security Testing) de Makro, Veracode.

Ideal para pruebas de seguridad, este software busca y detecta vulnerabilidades en el código de aplicaciones desde la etapa de codificación, pasando por pruebas y QA e, inclusive, si ya está en producción.

“En el mundo actual de las Tecnologías de la Información, la explotación de fallas y vulnerabilidades en diversos tipos de aplicaciones tiene un costo altísimo. Mientras antes sean detectadas estas vulnerabilidades, menor es la posibilidad de que hackers mal intencionados las utilicen para su beneficio personal y por consiguiente, perjurio nuestro”, comentó el Vulnerability Manager de Makros, Felipe Rodríguez.

Probar durante todo el proceso

 

De acuerdo al ejecutivo, desde el punto de vista de desarrollador, mayor es es el costo operacional y el esfuerzo requerido para remediar una vulnerabilidad en la medida en que transcurre más tiempo y la misma se aloja en etapas avanzadas de un sistema.

“Veracode combina la eliminación de vulnerabilidades en distintas etapas de desarrollo junto con la capacidad de integrarse en la automatización de estos procesos y privacidad”, señaló Rodríguez.

Utilizada en las industrias de la banca, automotriz y alimentación, una de las características de entrega de Veracode es la capacidad de realizar análisis dinámico de aplicaciones (Dynamic Application Security Testing, DAST) donde se analizan aplicaciones productivas en busca de vulnerabilidades en los casos de uso.

Gracias a esto es posible validar la lógica de la aplicación y su cumplimiento con las políticas y estándares deseados. Además, es posible crear perfiles propios de políticas, basados en estándares de mejores prácticas: PCI, OWASP, SANS top 35 y CERT.

“Otro aspecto donde Veracode marca la diferencia con otras soluciones de AST es que su análisis lo realiza utilizando el binario de la aplicación, con lo que no se transfiere código fuente a Veracode. Aun así, este sistema es capaz de indicar cuáles vulnerabilidades se encuentran presentes en el código y, además, dónde se encuentran, en qué archivo y línea del código”, puntualizó el experto.