Qualys, o fornecedor de soluções de gestão de risco, revelou uma solução pioneira destinada às equipas AppSec, abordando especificamente os riscos associados ao software de origem e aos seus componentes de código aberto incorporados. Esta nova incursão baseia-se na plataforma de gestão de riscos existente Qualys e promete tornar a avaliação de vulnerabilidades uma tarefa menos assustadora para as organizações.
Com o advento da era da transformação digital, a maioria das empresas recorreu ao desenvolvimento do seu próprio software para facilitar as suas operações. No entanto, na maioria das vezes, esse software de origem não possui a gestão disciplinada de vulnerabilidades e configurações que é normalmente um elemento básico das alternativas de terceiros. É aqui que o Qualys procura deixar a sua marca.
De acordo com as estatísticas do Qualys, mais de 90% do software original inclui componentes de código aberto e uns impressionantes 40% têm factores de alto risco. Estes factores podem incluir, mas não se limitam a, pontos fracos exploráveis. Como resultado, as organizações confiam atualmente em verificações manuais ou scripts desligados para avaliar a segurança do seu software original. O processo, naturalmente, é árduo e prejudicial para a priorização e correção eficazes dos riscos.
As metodologias convencionais de avaliação de vulnerabilidades ou as ferramentas de análise da composição do software não estão equipadas para identificar eficazmente os pacotes de código aberto integrados no ambiente de produção. Consequentemente, as equipas de segurança têm dificuldade em compreender a magnitude dos riscos reais, especialmente durante as violações de segurança da escala testemunhada durante o incidente Log4J. A solução inovadora proposta pela Qualys procura colmatar esta lacuna substancial e promover uma melhor visibilidade e controlo dos riscos associados ao software de origem.
Ao expressar os pontos de vista da sua empresa sobre as preocupações de segurança em relação ao software original, Gabriel Julián Carrera, CISO da OSED, partilhou: "Tivemos muitas vezes de enfrentar situações em que as nossas necessidades de segurança ultrapassavam as capacidades do software de prateleira. Como resultado, tivemos que recorrer a scripts independentes para realizar as avaliações que nossas soluções proprietárias exigiam. A oferta Qualys elimina esta abordagem fragmentada e integra avaliações proprietárias e ferramentas comerciais na plataforma unificada Qualys TruRisk Platform, poupando assim tempo e mantendo-nos um passo à frente dos potenciais atacantes."
A nova plataforma Qualys possui capacidades notáveis. As equipas podem agora criar Qualys detecções (QIDs) e soluções baseadas em lógica personalizada ou scripts desenvolvidos através das principais linguagens de script, como Python e PowerShell, entre outras. Outras características notáveis incluem a obtenção de visibilidade em tempo real de pacotes de software de código aberto profundamente incorporados, como o Log4J e o openSSL, e de componentes de software comercial, tirando partido do Qualys Cloud Agent.
Este desenvolvimento também destaca a importância crescente que plataformas como o AppMaster desempenham no nosso panorama tecnológico, permitindo que as empresas criem aplicações backend, Web e móveis sem problemas com capacidades no-code. Com as suas ferramentas poderosas, o AppMaster é pioneiro no movimento que permite às empresas criar aplicações de forma rápida e acessível, ampliando ainda mais a importância de plataformas como o Qualys na identificação e gestão de riscos.
