Porque no sólo se trata de escanear las aplicaciones; sino de construir los puentes que atiendan de manera integral y con un enfoque holístico las necesidades de los equipos de desarrollo y de los equipos de seguridad operando una plataforma de seguridad continua de software.
En Avalora estamos constantemente trabajando en la innovación y mejora de nuestros productos y servicios. Muchas veces, estas mejoras, ocurren tras bambalinas y son poco visibles para nuestros clientes.
En esta oportunidad, quisiéramos compartir un caso puntual: el de Faena.app, que cuenta con muchas tecnologías de punta implementadas facilitándonos solidez en nuestros procesos y un delivery de un producto robusto.
👉 Conoce más sobre Faena.app
Una de las tecnologías que ocupamos, es Veracode, que nos permite manejar un programa de seguridad aplicativa de manera integral en nuestra organización. Podemos definir politicas de manera centralizada, contra las cuales se realizan los escaneos (estáticos y dinámicos) de distintas aplicaciones/microservicios. Está enfocado en generar hallazgos y poder mitigarlos cuanto antes en nuestros procesos, con un enfoque “shift left”, es decir llevar la seguridad y los escaneos lo más a la izquierda posible (lo más al inicio) de nuestros procesos de desarrollo.
Si nos ponemos a pensar...
¿Qué tan a la izquierda podemos llevar la seguridad en nuestros procesos?
Personalmente, creo que desde la etapa de formación de los desarolladores. En la mayoría de los casos, ellos, no cuentan con la capacitación necesaria para identificar o remediar vulnerabilidades, o para codificar de forma segura en pos de reducir el número de vulnerabilidades de nuestros aplicativos.
¿Pero qué hacemos o podemos hacer desde nuestras posiciones de liderazgo para mejorar esto?
No podemos exigirle a los desarrolladores que ocupen las mejoras practicas en desarrollo seguro si no nos ocupamos de formarlos en ello o de darle las herramientas para que controlen como lo están haciendo. Veracode, se ha dado cuenta de esto, y ha lanzado Veracode Security Labs.
El poder de Veracode Security Labs
- Facilita la seguridad al desarrollador y lo acompaña durante su trabajo con un foco más formativo.
- Nos permite generar campañas de educación dentro de nuestra organización de una forma bien sencilla y con tintes de gamificación, con ejercicios a los que se accede a través de una web para que en tan solo de 5 a 10 minutos en el ambiente de laboratorio, los usuarios pueden interactuar con aplicaciones web reales, explotando vulnerabilidades y parcheando código, escribiendo sus propias correcciones.
- Las lecciones guían a los usuarios a través de cada paso, verificando automáticamente el progreso del usuario en el camino. Los desafíos sirven como práctica adicional para reforzar las habilidades aprendidas.
- Los usuarios pueden guardar su lugar en cada laboratorio para continuar donde lo dejaron y acceder a sugerencias opcionales para guiarlos conforme necesiten.
Versiones de Veracode Security Labs
Existen Community Edition y Enterprise Edition.
Enterprise Edition está diseñado para empresas que tengan equipos de desarrollo e incluye cientos de laboratorios, tablas de clasificación en modo competencia y otras capacidades que hacen que sea fácil e interesante involucrar al equipo. Además, Enterprise Edition ofrece una funcionalidad de administración integral para que los líderes de equipo puedan asignar contenido relevante, realizar un seguimiento del progreso de su equipo y demostrar el cumplimiento.
De esta manera, se pueden establecer los módulos y plazos requeridos, realizar un seguimiento de la finalización de las capacitaciones por parte de cada equipo de trabajo y exportar informes de progreso para comprobar los cumplimientos.
