Symbiotic Security kondigt updates aan voor zijn applicatie en IDE-extensie. Die updates bieden aanbevelingen voor veilig coderen en lossen kwetsbaarheden op terwijl code wordt geschreven.
In een blogpost schrijft Symbiotic Security dat security met de software van het bedrijf niet langer een bijzaak is. De security staat, zo schrijft de onderneming zelf, waar het altijd had moeten staan. Die is namelijk geïntegreerd in de softwareontwikkelingscyclus (SDLC) als een fundamenteel onderdeel van het codeerproces. De software scant continu zowel reeds geschreven code als nieuwe code. Zo kan de applicatie potentiële bedreigingen al tijdens het coderen identificeren en oplossen.
Symbiotic Security vernieuwde het dashboard dat inzichten- en rapportages verzorgt. Dit gebeurt opdat ontwikkelaars een 360-graden overzicht krijgen van kwetsbaarheden in de code. Daarnaast voegde het bedrijf ook nieuwe dashboards toe die ontwikkelaars helpen hun voortgang op het gebied van kwetsbaarheden beter te begrijpen en te monitoren.
Lees ook: Wat leidinggevenden moeten weten over shift-left security
Just-in-time training
Een andere toevoeging is een beleidsschending-indicator, die de ontwikkelaar laat zien of een kwetsbaarheid de integratie zal doorstaan. Tot slot is er een nieuw trainings-tabblad geïntegreerd in de IDE, dat just-in-time training, links naar bronnen en voorbeelden van kwetsbare code biedt.
Volgens Edouard Viot, medeoprichter en Chief Technology Officer van Symbiotic Security, hebben ontwikkelaars real-time bruikbare inzichten nodig. Alleen zo kunnen ze volgens hem met vertrouwen veilige code schrijven. Viot stelt dat de updates ervoor zorgen dat ontwikkelaars en beveiligingsteams de inzichten krijgen die ze nodig hebben en zonder de workflow te verstoren.
Duizenden gevallen van kwaadaardige code
De aandacht voor het voorkomen van kwetsbaarheden in code is niet zonder reden. Uit onderzoek van beveiligingsbedrijf Apiiro blijkt dat er duizenden gevallen van kwaadaardige code aanwezig zijn in repositories en pakketten. De focus van het onderzoek lag op diepgaande codeanalyse.
Apiiro stelt dat de beveiliging van dependency managers en platforms voor broncodehosting nog steeds in ontwikkeling is. Die beveiliging vertoont volgens de onderzoekers grote lacunes, zoals bij verificatie van menselijke en digitale identiteiten, validatie van broncode en releases, en meer. Ook herkent Apiiro veel beveiligingsproblemen in buildsystemen, artifactmanagers en pipeline-tools.