Synopsys lanza una nueva herramienta para la seguridad automatizada de las aplicaciones

Synopsys ha anunciado hoy que mostrará el nuevo Grupo de Integridad del Software Orquestación inteligente solución en la Conferencia RSA el 17 de mayoth – 20th. Intelligent Orchestration es un canal de automatización de la seguridad de las aplicaciones, optimizado para la velocidad y la eficiencia, que garantiza la realización de las pruebas de seguridad adecuadas en el momento oportuno. Intelligent Orchestration, que se ejecuta en paralelo a los pipelines de construcción y lanzamiento, utiliza una tecnología innovadora para determinar e iniciar automáticamente las pruebas de seguridad más apropiadas, incluyendo las estáticas (SAST), las dinámicas (DAST), las interactivas (IAST) y el análisis de la composición del software (SCA), basándose en políticas de riesgo predefinidas y en los cambios realizados en una aplicación.

A medida que aumenta el ritmo y la complejidad del desarrollo de software, los equipos de seguridad y desarrollo de todas las industrias han reconocido que es esencial integrar y automatizar las pruebas de seguridad dentro de sus cadenas de herramientas y flujos de trabajo de desarrollo. Sin embargo, a menudo se encuentran con que hacer esto puede ralentizar los conductos de desarrollo y abrumar a los equipos de desarrollo con grandes volúmenes de resultados de pruebas, muchos de los cuales no requieren atención inmediata.

Los conceptos y la tecnología que hay detrás de Intelligent Orchestration se desarrollaron y perfeccionaron a lo largo de años de experiencia ayudando a los clientes a superar estos retos, incluida una empresa de servicios financieros de la lista Fortune 500 que estaba llevando a cabo un importante esfuerzo de transformación digital:

«Probar sus aplicaciones críticas para el negocio en busca de vulnerabilidades de seguridad es esencial, pero cuando se trata de producir resultados procesables y ganar la confianza de los desarrolladores en un entorno DevOps, las pruebas que no se ejecutan pueden ser igual de importantes que las pruebas que se ejecutan», dijo el director de seguridad de aplicaciones para el cliente de servicios financieros. «Evitar los ciclos de pruebas superfluas y priorizar las vulnerabilidades críticas que presentan el mayor riesgo para su organización es la clave para adoptar los beneficios de DevSecOps. Trabajamos estrechamente con Synopsys mientras desarrollaban su solución Intelligent Orchestration para abordar los cuellos de botella de DevSecOps con los que estábamos luchando.»

Intelligent Orchestration proporciona las siguientes capacidades y beneficios:

  • Canalización dedicada a la «seguridad continua»

Intelligent Orchestration es una canalización dedicada de integración continua (CI) que se ejecuta en paralelo a las canalizaciones de construcción y lanzamiento para realizar las pruebas de seguridad de la aplicación necesarias.

  • Integración perfecta con los canales y cadenas de herramientas de desarrollo existentes

Intelligent Orchestration no requiere que se reimplementen los pipelines de construcción y lanzamiento. En su lugar, se integra fácilmente con los procesos de CI a través de simples llamadas a la API. Además, las integraciones extensibles de DevOps permiten a los equipos incorporar pruebas de seguridad de aplicaciones realizadas por herramientas de Synopsys, así como herramientas de código abierto y de terceros, y entregar los resultados a través de las herramientas de desarrollo, gestión de riesgos y seguimiento de problemas que ya utilizan.

  • Garantiza la ejecución de las pruebas correctas en el momento adecuado

Los equipos pueden definir las políticas de seguridad de sus aplicaciones como código, especificando reglas para el análisis de seguridad, la notificación y la corrección. Gracias a una tecnología innovadora, Intelligent Orchestration utiliza esa política para evaluar los cambios de código y otros eventos de SDLC para activar de forma inteligente las pruebas de seguridad adecuadas, maximizando la velocidad al realizar sólo las pruebas que se necesitan cuando se necesitan.

  • Entrega la información correcta a los equipos adecuados
RECOMENDADO  Los profesionales de la seguridad desean que los proveedores de la nube ofrezcan mejoras específicas de seguridad, según una encuesta

Intelligent Orchestration optimiza y estandariza los informes de seguridad de las aplicaciones en toda la gama de herramientas de pruebas de seguridad. Los resultados se filtran y priorizan automáticamente en función del riesgo y se entregan directamente en las herramientas de desarrollo y seguimiento de defectos que los equipos de desarrollo ya utilizan, lo que evita la «sobrecarga de vulnerabilidades» y permite a los equipos lograr el máximo impacto en el riesgo con el mínimo coste.

  • Automatiza el flujo de trabajo para las actividades de pruebas manuales o fuera de banda

Las políticas de orquestación inteligente también pueden desencadenar actividades de seguridad manuales, como pruebas de penetración, a través de sistemas de seguimiento de defectos y canales de comunicación, lo que permite a los equipos de seguridad coordinar el cumplimiento de la seguridad con los flujos de trabajo de desarrollo.

«Todas las organizaciones que adoptan DevOps encuentran fricciones cuando integran y automatizan las pruebas de seguridad en sus entornos DevOps», dijo Jason Schmitt, director general del Grupo de Integridad de Software de Synopsys. «Automatizar la aplicación de las políticas de seguridad de las aplicaciones en toda su cartera y gestionar los altos volúmenes de resultados de las pruebas de seguridad, al tiempo que se intenta mantener el ritmo de la aceleración del desarrollo, puede ser una tarea desalentadora. Estos desafíos son precisamente los que la Orquestación Inteligente está diseñada para abordar. A través de la inteligencia basada en políticas, la automatización y las amplias integraciones, Intelligent Orchestration agiliza los programas de pruebas de seguridad basados en el riesgo y la iteración continua».

Más información aquí.