Цього тижня компанія Symbiotic Security вийшла зі стелс-системи, щоб запустити однойменну платформу, яка дозволяє розробникам застосунків виявляти та виправляти вразливості й інші помилки в режимі реального часу під час написання коду. Про це повідомляє DevOps.com.
Генеральний директор Symbiotic Security Джером Роберт, який нещодавно зібрав $3 мільйони фінансування, сказав, що платформа компанії, програмне забезпечення як послуга (SaaS), розроблена для підключення до інтегрованого середовища розробки (IDE).
Такий підхід дозволяє розробникам застосунків шукати проблеми з безпекою, які вони можуть спокійно вирішити самостійно, використовуючи рекомендації, надані платформою.
Платформа Symbiotic Security, яка спочатку була зосереджена на коді Terraform, що широко використовувався розробниками програм для програмного забезпечення інфраструктури як коду (IaC), з часом буде розширено, щоб додати підтримку інших мов програмування.
По суті, Symbiotic Security усуває будь-який сором, який можуть відчувати розробники програм, коли помилки в їхньому коді виявляються, наприклад, командою кібербезпеки.
Замість того, щоб просто притягувати розробників до відповідальності за їхній код, Symbiotic Security перекладає відповідальність на розробників у спосіб, який фактично дає їм змогу вирішувати проблеми.
Організації будь-якого розміру інвестують більше часу та ресурсів у впровадження найкращих практик DevSevOps із перемінним успіхом.
Опитування Techstrong Research показує, що менше половини (47%) респондентів працюють в організаціях, які регулярно використовують найкращі практики DevSecOps.
Лише 54% сказали, що розробники програм регулярно сканують код на наявність вразливостей під час розробки. Ще менший відсоток (40%) проводить тестування безпеки.
Розробники застосунків зазвичай не приділяють багато часу створенню виправлень для застосунків, тому чим більше інструментів може виявити відповідні проблеми, оскільки розробники фактично пишуть код, тим більша ймовірність того, що розробники охоплять практики DevSecOps.
Це надзвичайно важливо в той час, коли все більше розробників починають більше покладатися на ШІ для написання коду, який може бути небезпечним. Великі мовні моделі загального призначення (LLM), на яких базуються ці інструменти штучного інтелекту, були навчені за допомогою коду різної якості, зібраного з Інтернету. Як наслідок, ці інструменти нерідко створюють вразливий код.
Сподіваємося, що магістри права, які пройшли навчання з використанням коду, перевіреного на наявність вразливостей, повинні генерувати код, який є більш безпечним, аніж той, який зараз можуть створити багато розробників.
Тим часом надання розробникам застосунків інструментів, які виявляють проблеми під час написання коду, має зменшити загальну кількість інцидентів безпеки, які можуть виникнути пізніше.
Читайте також на нашому сайті про безпеку як код (SaC): як подолати кіберзагрози на ранніх стадіях.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
