O mundo de AppSec vive um paradoxo difícil. Por um lado, atrasos ou paradas no processo de desenvolvimento de aplicativos não são aceitáveis, mas por outro ignorar processos de segurança, por mais que estes resultem em alguma demora, pode ser extremamente arriscado para toda a segurança da organização.
Pesquisas relatam que 83% dos aplicativos sofrem com pelo menos uma vulnerabilidade na verificação inicial. Por isso é muito importante o uso de um processo de AppSec que seja o menos doloroso possível para os desenvolvedores, e a redução de falsos positivos é uma grande parte desse requisito.
Nesse sentido, a Veracode busca a automação total e altas velocidades para todas as digitalizações, sem comprometer a qualidade. A equipe de pesquisa de segurança faz amostras regulares de envios de aplicativos de clientes, com o objetivo de revisar manualmente as falhas. Isso garante que um padrão de precisão em termos de falsos positivos e negativos seja atendido. Ao analisar aplicativos de clientes reais, um conjunto de casos muito mais amplo e realista é obtido, levando a melhorias que são implementadas de volta em um mecanismo de análise estática.
Como provedor de SaaS nativo, a Veracode tem uma vantagem estratégica na melhoria das taxas de falsos positivos. Até o momento, mais de 13.5 trilhões de linhas de código foram analisadas e mais de 4 milhões de varreduras foram realizadas, garantindo que cada lançamento deixe a solução mais inteligente. Soluções locais, por outro lado, exigem que seus clientes criem manualmente regras personalizadas para ajustar os falsos positivos no software de seu fornecedor, o que pode ser muito demorado e complicado.
O resultado é que 89% das varreduras de Veracode terminam em menos de uma hora, mantendo um alto padrão de qualidade sem precisar treinar e manter uma equipe para personalizar regras de varredura. Essa personalização pode ser cara e demorada, além de exigir um conjunto de habilidades difícil de encontrar. Além disso, as personalizações podem atrapalhar os resultados dos testes, afinal de contas fica difícil provar a terceiros que seus aplicativos são seguros se alguém puder manipular os resultados.
Por outro lado, a Veracode ostenta uma taxa de falsos positivos de 1.1%, com zero customização de regras. Em comparação, as soluções concorrentes reportam taxas de falsos positivos de 32%.
No fim das contas, a solução Veracode já analisou centenas de milhares de aplicativos corporativos, móveis e baseados em nuvem, ajudando a corrigir mais de 48 milhões de falhas. Quer garantir aos seus clientes a melhor análise, melhorias mais rápidas, maior precisão e capacidade de criar mais software, com mais segurança do que nunca? Entre em contato com a M3Corp e conheça a Veracode Application Security.
Posts recentes