Qualys расширяет портфель решений по снижению рисков за счет специализированного решения для программного обеспечения первых лиц

Компания Qualys, разработчик решений для управления рисками, представила новаторское решение, ориентированное на команды AppSec, в частности, на риски, связанные со сторонним программным обеспечением и его встроенными компонентами с открытым исходным кодом. Новая разработка опирается на существующую платформу управления рисками Qualys и обещает сделать оценку уязвимостей менее сложной задачей для организаций.

С наступлением эпохи цифровых преобразований большинство компаний прибегают к разработке собственного программного обеспечения для обеспечения своей деятельности. Однако чаще всего в таком программном обеспечении сторонних разработчиков отсутствует дисциплинированное управление уязвимостями и конфигурациями, которое обычно характерно для альтернативных решений сторонних производителей. Именно здесь Qualys и стремится заявить о себе.

По статистике Qualys, более 90% программного обеспечения сторонних разработчиков содержит компоненты с открытым исходным кодом, а 40% из них содержат факторы повышенного риска. К таким факторам можно отнести, в частности, уязвимости, которые можно использовать. В результате в настоящее время организации полагаются на ручные проверки или отсоединенные скрипты для оценки безопасности своего стороннего ПО. Естественно, этот процесс является трудоемким и негативно сказывается на эффективной расстановке приоритетов и устранении рисков.

Традиционные методики оценки уязвимостей или средства анализа состава ПО не позволяют эффективно выявлять пакеты с открытым исходным кодом, внедренные в производственную среду. В результате специалисты по безопасности не могут понять масштабы реальных рисков, особенно при нарушениях безопасности такого масштаба, как в случае с инцидентом Log4J. Инновационное решение, предложенное компанией Qualys, призвано устранить этот существенный недостаток и обеспечить лучшую видимость и контроль рисков, связанных с программным обеспечением сторонних разработчиков.

Габриэль Хулиан Каррера (Gabriel Julián Carrera), CISO компании OSED, поделился своим мнением о проблемах безопасности, связанных с программным обеспечением первых лиц: "Нам часто приходилось сталкиваться с ситуациями, когда наши потребности в безопасности превышали возможности готового программного обеспечения. В результате нам приходилось прибегать к независимым скриптам, чтобы получить оценки, которые требовались нашим собственным решениям. Предложение Qualys позволяет отказаться от такого фрагментарного подхода и интегрировать собственные оценки и коммерческие инструменты в единую платформу Qualys TruRisk Platform, что экономит время и позволяет нам быть на шаг впереди потенциальных злоумышленников".

Новая платформа Qualys обладает широкими возможностями. Теперь команды могут создавать Qualys -обнаружения (QID) и средства защиты на основе собственной логики или сценариев, разработанных с помощью основных скриптовых языков, таких как Python, PowerShell и др. Среди других примечательных возможностей - получение в реальном времени видимости глубоко внедренных программных пакетов с открытым исходным кодом, таких как Log4J и openSSL, а также компонентов коммерческого ПО с использованием сайта Qualys Cloud Agent.

Эта разработка также подчеркивает растущую роль таких платформ, как AppMaster, в нашем технологическом ландшафте, позволяя компаниям беспрепятственно создавать внутренние, веб- и мобильные приложения с возможностями no-code. Благодаря своим мощным инструментам AppMaster является пионером в создании приложений, позволяющих предприятиям быстро и недорого создавать приложения, что еще больше повышает значимость таких платформ, как Qualys, для выявления и управления рисками.