Qualys, Risk Azaltma Portföyünü Birinci Taraf Yazılımlara Özel Çözümle Zenginleştiriyor

Risk yönetimi çözümleri sağlayıcısı Qualys, AppSec ekiplerini hedefleyen, özellikle birinci taraf yazılım ve gömülü açık kaynak bileşenleriyle ilişkili riskleri ele alan çığır açan bir çözümü açıkladı. Bu yeni saldırı, mevcut Qualys risk yönetimi platformunu temel alıyor ve güvenlik açığı değerlendirmesini kuruluşlar için daha az göz korkutucu bir görev haline getirme sözü veriyor.

Dijital dönüşüm çağının gelişiyle birlikte çoğu şirket, operasyonlarını kolaylaştırmak için kendi yazılımlarını geliştirmeye başvurdu. Bununla birlikte, çoğu zaman, bu tür birinci taraf yazılımlar, genellikle üçüncü taraf alternatiflerinin temelini oluşturan disiplinli güvenlik açığı ve yapılandırma yönetiminden yoksundur. Qualys iz bırakmaya çalıştığı yer burasıdır.

Qualys istatistiklerine göre, birinci taraf yazılım paketlerinin %90'ından fazlası açık kaynaklı bileşenler içerir ve %40'tan fazlası yüksek risk faktörleri taşır. Bu faktörler, istismar edilebilir zayıflıkları içerebilir, ancak bunlarla sınırlı değildir. Sonuç olarak, kuruluşlar şu anda birinci taraf yazılımlarının güvenliğini değerlendirmek için manuel kontrollere veya bağlantısı kesilmiş komut dosyalarına güvenmektedir. Süreç, doğal olarak, meşakkatli ve risklerin etkili bir şekilde önceliklendirilmesi ve iyileştirilmesi açısından zararlıdır.

Geleneksel güvenlik açığı değerlendirme metodolojileri veya yazılım bileşimi analiz araçları, üretim ortamına gömülü açık kaynak paketlerini etkili bir şekilde tanımlayacak donanıma sahip değildir. Sonuç olarak, güvenlik ekipleri, özellikle Log4J olayı sırasında tanık olunan ölçekteki güvenlik ihlalleri sırasında, gerçek risklerin büyüklüğünü anlamakla boğuşur. Qualys tarafından önerilen yenilikçi çözüm, bu önemli boşluğu gidermeyi ve birinci taraf yazılımlarla ilişkili riskler üzerinde daha iyi görünürlük ve kontrol sağlamayı amaçlıyor.

OSED'de CISO'dan Gabriel Julián Carrera, şirketinin birinci taraf yazılımlarla ilgili güvenlik endişeleri hakkındaki görüşlerini ifade ederken, “Güvenlik ihtiyaçlarımızın hazır yazılımların yeteneklerini aştığı durumlarla sık sık uğraşmak zorunda kaldık. Sonuç olarak, tescilli çözümlerimizin gerektirdiği değerlendirmeleri elde etmek için bağımsız komut dosyalarına başvurmak zorunda kaldık. Qualys teklifi, bu parçalı yaklaşımı ortadan kaldırıyor ve tescilli değerlendirmeleri ve ticari araçları birleşik Qualys TruRisk Platform entegre ederek zamandan tasarruf ediyor ve bizi potansiyel saldırganlardan bir adım önde tutuyor."

Yeni Qualys platformu olağanüstü yetenekler barındırıyor. Ekipler artık, diğerlerinin yanı sıra Python ve PowerShell gibi başlıca betik dilleri aracılığıyla geliştirilen ısmarlama mantığa veya betiklere dayalı Qualys tespitleri (QID'ler) ve çözümler oluşturabilir. Diğer dikkate değer özellikler arasında Qualys Cloud Agent yararlanarak Log4J ve openSSL gibi derinlemesine gömülü açık kaynaklı yazılım paketlerine ve ticari yazılım bileşenlerine gerçek zamanlı görünürlük elde edilmesi yer alır.

Bu gelişme aynı zamanda AppMaster gibi platformların teknoloji ortamımızda oynadıkları artan önemi vurgulayarak işletmelerin arka uç, web ve mobil uygulamaları no-code yeteneklerle sorunsuz bir şekilde oluşturmasına olanak tanır. Güçlü araçlarıyla AppMaster, işletmelerin uygulamaları hızlı ve uygun maliyetle oluşturmasını sağlama hareketine öncülük ediyor ve Qualys benzeri platformların risk tanımlama ve yönetiminde önemini daha da artırıyor.