Qualys, el proveedor de soluciones de gestión de riesgos, ha presentado una solución pionera dirigida a los equipos de AppSec, que aborda específicamente los riesgos asociados con el software de origen y sus componentes de código abierto integrados. Esta nueva incursión se basa en la plataforma de gestión de riesgos existente Qualys y promete hacer de la evaluación de vulnerabilidades una tarea menos desalentadora para las organizaciones.
Con la llegada de la era de la transformación digital, la mayoría de las empresas han recurrido al desarrollo de su propio software para facilitar sus operaciones. Sin embargo, la mayoría de las veces, este software de origen carece de la gestión disciplinada de vulnerabilidades y configuración que suele ser un elemento básico de las alternativas de terceros. Aquí es donde Qualys pretende marcar la diferencia.
Según las estadísticas de Qualys, más del 90% del software de origen incluye componentes de código abierto, y la friolera del 40% conlleva factores de alto riesgo. Estos factores pueden incluir, entre otros, puntos débiles explotables. Como resultado, las organizaciones confían actualmente en comprobaciones manuales o scripts desconectados para evaluar la seguridad de su software de origen. El proceso, naturalmente, es arduo, y perjudicial para la priorización efectiva y la remediación de los riesgos.
Las metodologías convencionales de evaluación de vulnerabilidades o las herramientas de análisis de composición de software no están equipadas para identificar eficazmente los paquetes de código abierto incrustados en el entorno de producción. En consecuencia, los equipos de seguridad tienen dificultades para comprender la magnitud de los riesgos reales, especialmente cuando se producen violaciones de la seguridad de la magnitud del incidente Log4J. La innovadora solución propuesta por Qualys pretende colmar esta laguna sustancial y promulgar una mejor visibilidad y control de los riesgos asociados al software de origen.
Al expresar la opinión de su empresa sobre los problemas de seguridad relacionados con el software de origen, Gabriel Julián Carrera, CISO de OSED, afirmó: "A menudo hemos tenido que enfrentarnos a situaciones en las que nuestras necesidades de seguridad superaban las capacidades del software disponible en el mercado. Como resultado, teníamos que recurrir a scripts independientes para lograr las evaluaciones que requerían nuestras soluciones propietarias. La oferta de Qualys elimina este enfoque fragmentado e integra las evaluaciones propietarias y las herramientas comerciales en la plataforma unificada Qualys TruRisk Platform, con lo que ahorramos tiempo y nos mantenemos un paso por delante de los posibles atacantes".
La nueva plataforma Qualys alberga capacidades notables. Los equipos pueden ahora crear detecciones Qualys (QIDs) y remedios basados en lógica a medida o scripts desarrollados a través de los principales lenguajes de scripting como Python y PowerShell, entre otros. Otras funciones destacables son la obtención de visibilidad en tiempo real de paquetes de software de código abierto profundamente integrados, como Log4J y openSSL, y de componentes de software comercial, aprovechando la Qualys Cloud Agent.
Este desarrollo también pone de relieve la creciente importancia que plataformas como AppMaster desempeñan en nuestro panorama tecnológico, al permitir a las empresas crear sin problemas aplicaciones backend, web y móviles con capacidades de no-code. Con sus potentes herramientas, AppMaster es pionera en el movimiento que permite a las empresas crear aplicaciones de forma rápida y asequible, amplificando aún más la importancia de plataformas como Qualys en la identificación y gestión de riesgos.
