Felipe Rodríguez, Vulnerability Manager de Makros.
Makros dio a conocer la solución de pruebas de seguridad aplicativa Veracode, que analiza las aplicaciones en búsqueda de vulnerabilidades en su código, procedimiento denominado SAST (Static Application Security Testing) desde la etapa de codificación, pasando por pruebas y QA, inclusive en producción.
“En el mundo actual de las Tecnologías de la Información, la explotación de fallas y vulnerabilidades en diversos tipos de aplicaciones tiene un costo altísimo. Mientras antes sean detectadas estas vulnerabilidades, menor es la posibilidad de que hackers mal intencionados las utilicen para su beneficio personal y por consiguiente, perjurio nuestro”, comentó Felipe Rodríguez, Vulnerability Manager de Makros.
De acuerdo al ejecutivo, desde un punto de vista de desarrollador, al seguir transcurriendo el tiempo desde que existe una vulnerabilidad, que por ende se aloja en etapas avanzadas de un sistema, mayor es el costo de remediación para el dueño de la aplicación, ya sea por la complejidad de la remediación y/o el costo operacional que esto conlleva.
“Es en ese ámbito que surge Veracode, una solución que combina la eliminación de vulnerabilidades en distintas etapas de desarrollo junto con la capacidad de integrarse en la automatización de estos procesos y privacidad”, señaló Felipe Rodríguez.
Veracode es una solución de pruebas de seguridad aplicativa (AST, application security testing) utilizada en las industrias de la banca, automotriz y alimentación, por nombrar algunas. Dispone de la capacidad de analizar las aplicaciones en búsqueda de vulnerabilidades en su código, procedimiento denominado SAST (Static Application Security Testing), desde la etapa de codificación, pasando por pruebas y QA, inclusive en producción.
“El aspecto donde Veracode marca la diferencia con otras soluciones de AST es que su análisis lo realiza utilizando el binario de la aplicación, con lo que no se transfiere código fuente a Veracode. Aun así, este sistema es capaz de indicar cuáles vulnerabilidades se encuentran presentes en el código y, además, dónde se encuentran, en qué archivo y línea del código”, puntualizó el experto.
Otra característica que entrega Veracode es la capacidad de realizar análisis dinámico de aplicaciones (Dynamic Application Security Testing, DAST) donde se analizan aplicaciones productivas en busca de vulnerabilidades en los casos de uso, con lo cual además es posible validar la lógica de la aplicación y su cumplimiento con las políticas y estándares deseados.
Además, es posible crear perfiles propios de políticas, basados en estándares de mejores prácticas: PCI, OWASP, SANS top 35 y CERT.
“De esta forma y con el apoyo de Makros en el levantamiento del proceso de seguridad en desarrollo y sus distintas metodologías, se puede incorporar a Veracode en distintas etapas, incluyendo aquellas que tienen automatización como Entrega Continua y sus builds diarias”, concluyó Felipe Rodríguez.
Mayor información en www.makros.cl
