| +11 голос |
|
Сучасні застосунки – це вже не окремі сервіси з простими шляхами валідації. Це екосистеми API, мікросервісів, меж довіри та складної логіки авторизації. У такому середовищі багато з найнебезпечніших вразливостей мають системний характер.
Щоб розв’язати це завдання, Amazon Web Services Security Agent тепер включає функцію Full Repository Code Review (у прев’ю) – можливість виконувати глибокий, керований AI та контекстно-усвідомлений аналіз безпеки по всій кодовій базі, інформує Softprom, офіційний партнер AWS. Організації можуть впровадити цю можливість для значного покращення практик безпечної розробки та зниження ризиків у великих репозиторіях.
Інструменти традиційного статичного аналізу безпеки застосунків (SAST) ефективно виявляють відомі патерни: точки SQL-ін’єкцій; жорстко прописані облікові дані в коді; неекрановані вихідні дані тощо.
Однак їм складно виявляти: відсутні перевірки авторизації на окремих кінцевих точках; несумісне кодування на різних шляхах виконання; логіку валідації, що покриває не всі крайні випадки; порушення архітектурних меж довіри.
Ручні перевірки безпеки можуть виявляти такі проблеми, але вони повільні, дорогі та практично не масштабуються для великих і динамічних кодових баз.
Своєю чергою Full Repository Code Review закриває цю прогалину, діючи як автоматизований дослідник безпеки, який аналізує застосунок у цілому.
Процес повторює підхід досвідченого інженера з безпеки під час аналізу системи – профілювання застосунку, цільовий пошук вразливостей, тріаж і дедуплікацію, незалежну валідацію. Кожне знайдене порушення повторно оцінюється окремим валідатором. У результаті формуються структуровані звіти з розділами Verified та Could not verify.
Ця можливість доступна у режимі прев’ю без додаткової оплати для користувачів AWS Security Agent. AWS надає пріоритетний ранній доступ, щоб допомогти клієнтам зміцнити свої кодові бази та зібрати зворотний зв’язок.
Ви можете увімкнути Full Repository Code Review безпосередньо в консолі AWS Security Agent і запустити перше сканування. Раннє впровадження дозволить вашим командам виявляти системні проблеми до їх потрапляння у продакшн.
Ця нова можливість є важливим кроком до масштабованої, керованої AI безпеки застосунків – коли автоматизований аналіз відповідає складності сучасних архітектур ПЗ.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
