blog conviso

Gestão de Vulnerabilidades - Ferramentas de SAST e DAST

December 24, 2019

By

Rodrigo Maués

Ferramentas de SAST e DAST|Gestão de Vulnerabilidades - AppSec Flow

Aqui na CONVISO pregamos pela qualidade e pela segurança dos códigos.

Para isso sempre buscamos colocar na realização de nossos serviços nossos melhores esforços

Portanto defendemos que um bom teste, tanto de code review quanto testes de intrusão, por exemplo, tenham a participação direta de um analista experiente e com conhecimento profundo.

Esse pensamento às vezes é mal entendido por nossos clientes e pelo mercado, que acreditam que por termos esta postura não acreditamos ou concordamos com o uso de ferramentas.

É um equivoco, o que entendemos é que uma ferramenta por melhor que seja não consegue se comparar a uma pessoa bem preparada e experiente no que está fazendo.

No entanto isso não quer dizer que não usamos ferramentas para auxiliar em nossos testes.

As ferramentas de SAST e DAST são muito importantes dentro de um processo de desenvolvimento e defendemos sempre o seu uso onde e quando for necessário.

Em um dos nossos artigos mostramos nosso pensamento sobre o uso de ferramentas e sua comparação com a realização de uma análise de code review

Neste artigo vamos mostrar que ferramentas de SAST podem muito bem trabalhar em conjunto com os analistas e com isso trazer muito mais resultado para um projeto.

Porém não acreditamos no uso exclusivo da ferramenta como solução mágica.

O Uso de Ferramentas de SAST e DAST

Entendemos que ferramentas de SAST e também de DAST devem receber sua atenção merecida dentro do processo de desenvolvimento seguro, e para isso a Conviso Platform é preparada para se integrar a ferramentas de SAST e DAST.

a Conviso Platform é uma plataforma totalmente pensada e preparada para receber o relatório gerado pelas ferramentas e garantir que todas as vulnerabilidades identificadas sejam gerenciadas em seu processo de correção.

Gestão de Vulnerabilidades - AppSec Flow

Centralizando seu resultado em uma plataforma focada em gerenciamento do processo de correção de vulnerabilidades, a empresa ganha mais controle e consegue garantir que todo o fluxo de correção seja realizado seguindo as melhores práticas do mercado. 

Alguns exemplos de ferramentas que temos integrada à nossa plataforma são: Veracode, Checkmarx, Fortify e Sonarqube, entre outras.

Ainda, com nossa API podemos garantir a integração com todas as ferramentas que permitam este tipo de comunicação.

Saiba mais sobre a Gestão de Análises SAST e DAST no AppSec Flow

Todas as informações em um único lugar 

Além de ter sido construída para garantir a melhor forma de gerenciarmos o processo de correção de vulnerabilidades, a Conviso Platform tem como base sólida, a experiência adquirida em cada uma das análises já feitas.

A plataforma entrega aos gestores, dentre suas muitas, duas funcionalidades importantes no processo de desenvolvimento seguro.

A primeira é permitir o gerenciamento das vulnerabilidades identificadas pelas ferramentas de SAST e DAST, tornando a sua correção um processo estruturado e rastreável.

A segunda é a possibilidade de registrarmos todo o conhecimento adquirido durante o processo de identificação e correção das vulnerabilidades.

Através de seu dashboard entrega ao gestor e às equipes uma visão centralizada de suas vulnerabilidades e como está o status de suas análises, garantindo um controle sobre o nível de risco.

Vai além de apenas realizar revisões

Pensamos que garantir a segurança de um código é muito mais que apenas realizar revisões.

Precisamos garantir que as vulnerabilidades identificadas pelas ferramentas de SAST e DAST sejam devidamente corrigidas e que o conhecimento adquirido no processo seja mantido.

Garantir a segurança de um código é um processo, e como tal deve sempre ser validado e acompanhado pois como diziam Robert Kaplan e David Norton,  sabemos “o que não é medido não é gerenciado”

Com o uso da Conviso Platform as informações relevantes sobre a segurança do seu código são apresentadas de uma forma que pode facilitar a sua tomada de decisão.

E você, sabe com certeza como está a segurança do seu código ?

[hubspot type=cta portal=5613826 id=938fc556-1d7a-45b8-bdf7-4e60d0c6897f]

Sobre o autor

Rodrigo Maués

Bachelor's degree in Computer Science from the Federal University of Alagoas. He has spoken at events such as the NullByte Security Conference and Hackers to Hackers Conference, and presented research projects at national and international events. He has experience in application security, exploit development, and vulnerability research in both userland and kernel land, having discovered vulnerabilities for companies like Microsoft, AMD, and Intel. His interests include operating system internals, compilers, malware development, vulnerability research, and EDR evasion.

Saiba mais