Los líderes de seguridad y los desarrolladores de software se beneficiarán de una mayor visibilidad de la postura de seguridad de desarrollo de software de sus organizaciones mientras trabajan, impulsando los movimientos hacia el nirvana del llamado código seguro por diseño, con la introducción de una solución pionera en la industria del especialista del sector Secure Code Warrior (SCW). SCW Trust Agent llega inmediatamente después de la introducción de SCW Trust Score, un punto de referencia de la industria que cuantifica, por primera vez, la competencia en seguridad de los desarrolladores de software dentro de las organizaciones. Utiliza el mismo conjunto de datos de millones de puntos de aprendizaje recopilados de cientos de miles de desarrolladores para ayudar a los usuarios a comprender si el código que se envía a repositorios públicos de código abierto basados ​​en Git es un buen momento para comenzar o si podría ser un riesgo en el futuro. La empresa espera que la solución se convierta en una parte integral del ciclo de vida del desarrollo de software seguro. «En Secure Code Warrior, estamos desbloqueando un nuevo valor para los CISO al brindarles una solución fácil de implementar para medir el estado de las confirmaciones de código y la visibilidad de los cientos de repositorios de código fuente en su organización», dijo Pieter Danhieux, cofundador y CEO de la empresa. “Nuestras innovaciones están poniendo a las organizaciones en una mejor posición para cerrar la brecha de visibilidad entre las habilidades de un desarrollador y la calidad del código producido sin sacrificar la velocidad de desarrollo”. Trust Agent funcionará con cualquier repositorio basado en Git, incluidos GitHub, GitLab, Atlassian Bitbucket y otros. Funciona examinando el código comprometido para ver si el cargador está marcado como poseedor del conjunto de habilidades de código seguro prescrito en el lenguaje de programación de esa confirmación, y utiliza esa información para calificar el estado de la confirmación. Estas calificaciones patentadas luego se pueden agregar en otros repositorios. SCW cree que Trust Agent ofrecerá un mayor control y flexibilidad en lo que respecta al control de acceso de los desarrolladores. Por ejemplo, permitirá a los administradores establecer políticas y criterios para asegurarse de que los desarrolladores cumplan con un conjunto básico de expectativas antes de que comience el trabajo, mientras que para cualquier brecha de habilidades identificada a través de su uso, se puede poner en juego la plataforma de aprendizaje ágil de la empresa. En general, dijo, la solución brindará controles de seguridad mejorados, con configuraciones de políticas personalizables en función de la sensibilidad de las necesidades del proyecto; visibilidad integral, que incluye información procesable sobre la postura de seguridad de las confirmaciones de código; y seguridad dirigida por el desarrollador a escala, lo que permite que los proyectos se entreguen de forma más rápida y segura, con los equipos de seguridad de aplicaciones libres para centrarse en las revisiones más sensibles. Caos en CrowdStrike Si bien SCW no ha hecho afirmaciones sobre si sus soluciones podrían haber evitado colectivamente el caos causado por una actualización dudosa de CrowdStrike que bloqueó temporalmente millones de máquinas Windows la semana pasada, el lanzamiento se produce en un momento en el que la integridad del desarrollo de software es una prioridad. Sin embargo, con el problema que llevó al incidente ahora identificado con confianza como una falla de seguridad de software C++ relativamente común conocida como una desreferencia nula en la memoria del núcleo, Danhieux reiteró los recientes llamados de las autoridades de seguridad, como CISA en los EE. UU., instando a los desarrolladores a alejarse de los lenguajes inseguros para la memoria para evitar mejor tales vulnerabilidades. Escribiendo en la plataforma de redes sociales LinkedIn, dijo que eso habría sido una tarea difícil para CrowdStrike. Esto se debe a que la mayor parte del código a nivel de kernel está escrito en C++, por lo que las cosas que se cargan en la memoria del kernel o que necesitan acceder a ella, como la detección y respuesta de puntos finales (EDR) en el caso de CrowdStrike, necesitarán usarlo en el futuro previsible. Danhieux dijo que los errores de desreferencia nula podrían ocurrir en múltiples circunstancias y eran «errores bastante inocentes y fáciles de cometer». Sin embargo, agregó, las organizaciones aún deben tomar medidas para evitarlos en sus proyectos. «Una vez que un atacante los descubre, pueden usarse en un ataque de denegación de servicio o simplemente bloquear la aplicación o todo el sistema operativo», explicó. «SCW tiene pautas de codificación específicas del lenguaje, videos de microaprendizaje y múltiples desafíos prácticos de codificación en C/C++ en torno a la desreferencia nula», agregó Danhieux.