Veracode anuncia la disponibilidad de la capacidad Veracode Fix en Veracode Scan para VS Code. Ahora los desarrolladores pueden descubrir y remediar fallas de seguridad utilizando las herramientas impulsadas por IA generativa de Veracode directamente desde su entorno de desarrollo integrado (IDE).
De acuerdo con el Estado de seguridad del software de Veracode, el 45,9% de las organizaciones tienen deuda de seguridad crítica. El hecho de que estos datos provengan de organizaciones que están probando activamente su software con una solución de alta calidad implica que el problema no es encontrar fallas: sino solucionarlas.
El año pasado presentaron Solución de Veracode– un asistente de inteligencia artificial que puede tomar los resultados de un escaneo estático de Veracode y permitir a los desarrolladores aplicar las correcciones sugeridas directamente a su código. Veracode Fix reduce a minutos el tiempo necesario para investigar e implementar una solución para un hallazgo determinado, manteniendo al mismo tiempo el control del desarrollador. La solución se implementó como parte de la utilidad Veracode CLI, que está disponible para Linux, Windows y MacOS.
Un poco más recientemente, presentaron una nueva complemento combinado para VS Code que realizó tanto análisis estático como análisis de composición de software (SCA).
Con esta nueva versión de Veracode Scan complemento para código VS, los desarrolladores pueden utilizar el poder de Veracode para descubrir y corregir fallas directamente en el IDE. Comenzando con VS Code, el complemento Veracode puede tomar los resultados de los análisis estáticos y ofrecer una variedad de soluciones para que los desarrolladores seleccionen para remediar una falla descubierta.
Cómo funciona
Para comenzar a escanear, simplemente haga clic en el botón «escanear» en el complemento Veracode. Esto primero creará y empaquetará el código para su análisis, ya que escanear los activos de implementación genera resultados más precisos que escanear el código fuente no compilado. A continuación, la plataforma Veracode analiza el código y sus dependencias.
Una vez que se obtengan los resultados, seleccione una falla y Veracode Fix generará una o más soluciones entre las que puede elegir y luego las aplicará directamente al archivo fuente. Toda la operación se realiza dentro del IDE de VS Code y ahorra tiempo, impulsa la coherencia y ayuda a reducir la creación de deuda de seguridad al exponer constantemente a los desarrolladores a soluciones de mejores prácticas.
Brindar a los desarrolladores la capacidad de encontrar y corregir fallas de seguridad en el IDE no solo coloca las herramientas en el lugar correcto, sino que también traslada la mitigación de fallas de seguridad al momento adecuado en el SDLC. La reparación temprana y sencilla de fallas mejora el rendimiento, amplifica la retroalimentación y reduce las compilaciones fallidas en el proceso de CI/CD. Los desarrolladores obtienen resultados y correcciones antes de que se confirme el código, lo que significa que es menos probable que los análisis de seguridad posteriores encuentren fallas que rompan la compilación y ralenticen la entrega. El escaneo y la remediación temprana reducen el tiempo y el esfuerzo involucrados en clasificar, priorizar, asignar y resolver una falla, lo que reduce significativamente el tiempo medio de remediación (MTTR) general de una organización.
Otro beneficio que los desarrolladores apreciarán es la carga cognitiva reducida que implica abordar fallas en el código en el que están trabajando activamente, en lugar de tener que abordar problemas días o semanas y cientos de nuevas líneas de código más tarde. Los equipos de seguridad también se beneficiarán de los análisis tempranos. Al utilizar el complemento Veracode, los resultados generados por el IDE permanecen en el IDE, lo que disminuye la relación señal-ruido y facilita la identificación de fallas no detectadas.
Idiomas y entornos admitidos
Actualmente, el complemento Veracode Scan está disponible para código VS (1.78.2 o posterior) y admite una amplia gama de idiomas para EstáticoySCA exploraciones. La compatibilidad con Veracode Fix está disponible para Java, JavaScript, PHP y Python. Se está desarrollando activamente soporte para IDE e idiomas adicionales.
La función de empaquetado automático funciona con los siguientes administradores de paquetes (los idiomas interpretados no requieren ningún paso de empaquetado):
- Java: Maven o Gradle
- JavaScript: NPM o hilo
- Pitón (pip)
Se pueden escanear otros sistemas de compilación, pero requerirán un aembalaje manual paso. La versión inicial del complemento permitirá una corrección de código por archivo fuente entre escaneos, pero se pueden corregir múltiples archivos fuente sin volver a escanear.
En conclusión
Desde su lanzamiento, Veracode Fix ha ayudado a muchos usuarios de Veracode a solucionar fallas de seguridad más rápido y comenzar a reducir su riesgosa deuda de seguridad. El lanzamiento de Veracode Fix en VS Code está diseñado para mejorar la experiencia de los desarrolladores al combinar resultados de escaneo altamente precisos y una solución sencilla integrada en las herramientas que usan todos los días.
Le animamos a solicitar una demostración o contacto comuníquese con el amigable equipo Veracode, que le quede más cerca, para obtener más información.
#Veracode #VeracodeFix #VSCode #IDE #SeguridadDelSoftware #DeudaDeSeguridad #AnálisisEstático #AnálisisDeComposiciónDeSoftware #SCA #Escaneo #Remediación #Desarrolladores #SDLC #MTTR #CargaCognitiva #Idiomas #Java #JavaScript #PHP #Python #Maven #Gradle #NPM #Hilo #Pip #SoluciónVeracode #ComplementoVeracode #AnálisisDeCódigo #CorrecciónDeCódigo #MejoresPrácticas #Retroalimentación #CompilacionesFallidas #EntregaDeSoftware #ClasificaciónDeVulnerabilidades #PriorizaciónDeVulnerabilidades #TiempoMedioDeReparación #EquiposDeSeguridad #RelaciónSeñalRuido #EmpaquetadoAutomático
