Checkmarx: Solución de confianza de AppSec (CxCodebashing)

A medida que los DevOps continúan en su camino de preponderancia, las organizaciones buscan acercar a los equipos de desarrollo y seguridad, para respaldar el lanzamiento de software seguro y un tiempo de comercialización más rápido. Las necesidades y beneficios de trasladar la seguridad a el ámbito del desarrollador es claro: ahorra tiempo, dinero y recursos de la empresa. Sin embargo, la realidad es que alrededor del 60% de los desarrolladores no confían en la seguridad de sus propias aplicaciones. Esta brecha existe ya que los desarrolladores a menudo están desatendidos cuando se trata de estrategia de seguridad. Las organizaciones normalmente someten a los desarrolladores a una formación sobre código seguro una vez al año, o en el mejor una vez al trimestre, y esperamos que a partir de entonces los desarrolladores puedan estar en sintonía con los equipos de seguridad. Mientras esto enfoque «marca la casilla de formación», no cultiva realmente una cultura sostenida de conocimiento del software.

No se puede pensar en la concienciación de AppSec como un paso distinto en el SDLC. Se trata de generar conciencia en cada paso del SDLC de una manera que realmente impulsa lanzamientos más rápidos. CxCodebashing fue diseñado exactamente por esta razón. A través del uso de comunicación abierta, participación continua, capacitación gamificada (lúdica)  y soporte de remediación in situ, los gerentes de seguridad pueden cultivar una cultura de seguridad de software que permita a los desarrolladores pensar y actuar de forma segura en su trabajo diario.

Valor único de CxCodebashing:

• Aprovechando más de 13 años de experiencia en AppSec

Siendo una parte integral de Checkmarx, CxCodebashing hace uso de ejemplos del mundo real y mejores prácticas

obtenido de años de experiencia con más de 1400 clientes en todo el mundo.

• Entrenamiento y más

Proporcionar a los equipos de seguridad la comunicación, herramientas de participación,

capacitación y evaluación que necesidad de ejecutar una conciencia integral de AppSec

campañas para desarrolladores durante todo el año.

• Centrado en el desarrollador

Los desarrolladores «usan el sombrero de hacker», ya que ven todas las partes móviles de la pila de aplicaciones

que son relevantes para explicar la vulnerabilidad.

• Construido a escala

Los equipos de grandes empresas se pueden gestionar y seguimiento en CxCodebashing con panel de control

detallado análisis y soporte integrado para los principales SAML / SSO proveedores.

• Soporte de remediación justo a tiempo

Vulnerabilidades detectadas en la aplicación estática Checkmarx las pruebas de seguridad (CxSAST)

incluyen un enlace fácil de seguir a la relevante lección de CxCodebashing.

Sube el listón de AppSec

CxCodebashing permite a la organización aumentar el conocimiento básico de AppSec en todo su equipo de desarrollo de una manera rápida, escalable y de manera positiva. La filosofía detrás de la solución es empoderar a los desarrolladores a largo plazo, enseñándoles cómo pensar y actuar con una mentalidad segura, en lugar de como resolver problemas específicos. Los gerentes de seguridad pueden crear y mantener un canal abierto de comunicación, manteniendo a los desarrolladores actualizados sobre las noticias y actividades de AppSec. Los gerentes tienen total control y visibilidad, pueden asignar fácilmente cursos específicos de lenguaje de programación a sus equipos y realizar un seguimiento continuo de su progreso.

Aprenda mientras codifica

A diferencia de la capacitación tradicional basada en video o en el aula, CxCodebashing es una solución práctica e interactiva que se adapta a los desarrolladores rutina diaria. En lugar de pasar un día entero aprendiendo sobre las vulnerabilidades de seguridad fuera de contexto, los desarrolladores reciben un bocado, sesiones bajo demanda que son relevantes para los desafíos específicos que enfrentan en su código.

Encuentra y repara de una vez

Checkmarx ofrece una integración única entre su solución Static Application Security Testing (CxSAST) y la educación en codificación segura solución. Las vulnerabilidades identificadas por análisis estático están vinculadas a lecciones de capacitación práctica, lo que proporciona una reparación rápida y guía precisa. Esto le enseña al desarrollador por qué ocurrió el problema, cómo solucionarlo y, lo que es más importante, cómo evitar que se produzca el mismo problema, el mismo error de nuevo.

Cumplir con los estándares regulatorios

CxCodebashing es compatible con estándares regulatorios como el PCI-DSS que requiere «capacitación en seguridad basada en roles» o más específicamente “formación en seguridad para desarrolladores”.

Idiomas y marcos compatibles

Cobertura de vulnerabilidad

CxIAST detecta vulnerabilidades de aplicaciones y relacionadas con las entradas, incluidas

las diez principales de OWASP y más.

• Inyección SQL • Inyección XXE • Inyección de comando  • Fijación de sesiones
• Uso de valores insuficientemente aleatorios • XSS reflejado • XSS persistente (almacenado)
• DOM XSS • Recorrido de directorio (ruta) • Exposición de interfaz privilegiada
• Código de depuración sobrante • Credenciales de autenticación en URL
• Exposición de la sesión dentro de la URL • Enumeración de usuarios
• Escalada horizontal de privilegios • Escalada vertical de privilegios
• Falsificación de solicitud entre sitios (POST) • Falsificación de solicitud entre sitios (GET)
• Haga clic en Jacking • Redireccionamiento de URL no seguro     • Validación TLS insegura
• Deserialización de objetos inseguros • Componentes con vulnerabilidades conocidas