Veracode, proveedor líder mundial de soluciones de pruebas de seguridad de aplicaciones, ha anunciado hoy la mejora de su Continuous Software Security Platform para incluir la seguridad de los contenedores. Este programa de acceso temprano para Veracode Container Security ya está en marcha para los clientes actuales. La nueva oferta de Veracode Container Security, diseñada para satisfacer las necesidades de los equipos de ingeniería de software nativo de la nube, aborda el escaneo de vulnerabilidades, la configuración segura y los requisitos de gestión de secretos para las imágenes de contenedores.
Brian Roche, director de productos de Veracode, comenta: "A medida que los desarrolladores adoptan las prácticas de computación nativa en la nube, los contenedores se han vuelto cada vez más importantes para la eficiencia empresarial. Este lanzamiento ayuda a cerrar una brecha sustancial en el mercado de soluciones fáciles de desarrollar que cubren las capacidades críticas para la seguridad de los contenedores. Estamos entusiasmados de traer esta próxima mejora de nuestra plataforma al mercado y empoderar a los clientes para abordar las pruebas de seguridad para arquitecturas y estilos de implementación más modernos".
La necesidad de seguridad de los contenedores está aumentando rápidamente
Los contenedores se utilizan cada vez más para simplificar el despliegue de software y la gestión de la configuración del entorno de ejecución. Comprenden unidades de software pequeñas, rápidas y portátiles en las que se empaqueta el código para que una aplicación pueda ejecutarse de forma rápida y fiable en diferentes entornos informáticos, desde el escritorio hasta la nube. Proporcionan un ecosistema de repositorios, tecnologías de orquestación y capacidades que abordan cuestiones relacionadas, como la comunicación entre servicios y la gestión de la configuración. Instanciados en pipelines desde el código, los contenedores tienen la ventaja de la inmutabilidad, lo que significa que no se actualizan, reconfiguran o parchean en producción. En cambio, la imagen subyacente se actualiza con nuevas capacidades y se vuelve a desplegar, lo que ayuda a mejorar la eficiencia en el entorno de producción.
A pesar de las ventajas de los contenedores, estos se ven afectados por muchos de los mismos problemas que tradicionalmente afectan a la producción física o al hardware de los servidores virtuales, como las vulnerabilidades introducidas a través de software adicional, los secretos mal gestionados (como las claves y credenciales de Amazon Web Services en los archivos Docker) y las desconfiguraciones de seguridad. Esto ha dado lugar a un aumento de la demanda de productos que aborden estas cuestiones y los problemas relacionados, y se espera que el tamaño del mercado global de seguridad de contenedores alcance los 3900 millones de dólares en 2027*. El escaneo de seguridad de contenedores analiza las imágenes de los contenedores con respecto a los estándares específicos de la organización o de la industria para identificar procesos inseguros, configuraciones erróneas que podrían conducir a una vulnerabilidad, y autenticación y control de acceso inadecuados.
Veracode Container Security se integra en el entorno del desarrollador
Muchos de los productos que ya están en el mercado están dirigidos a asegurar los contenedores en tiempo de ejecución y ofrecen un soporte limitado a los desarrolladores, lo que supone un gran reto para la corrección temprana. En cambio, la solución de Veracode se integra en el pipeline CI/CD (siglas en inglés de integración continua y entrega continua) y está disponible en la interfaz de línea de comandos. Al proporcionar cobertura para la detección y corrección de vulnerabilidades, gestión de secretos y problemas de configuración de seguridad en los sistemas operativos más populares, ofrece consejos de corrección a los desarrolladores en una fase temprana del ciclo de vida del desarrollo de software, de modo que los contenedores inseguros no se envíen a producción.
Los resultados de Veracode Container Security están disponibles en una variedad de formatos basados en la elección del usuario, incluyendo texto, JSON (JavaScript Object Notation), y Software Bill of Materials (CycloneDX, SWID [Software Identification Tagging], o SPDX [Software Packaging Data Exchange]), haciéndolos fáciles de integrar con otras herramientas. Al proporcionar a los desarrolladores y a sus equipos las herramientas para satisfacer sus necesidades específicas, se pueden encontrar y corregir las vulnerabilidades en las primeras etapas del ciclo de vida, dándoles la confianza de que su entorno de aplicaciones en contenedores es seguro.
"Veracode Container Security será fundamental para que nuestros desarrolladores se aseguren de que las cargas de trabajo que despliegan en nuestra nube son seguras", señala el director de seguridad de la información de una empresa de automoción. "Sin esta herramienta, nuestro equipo tardaría semanas en recibir y actuar sobre los resultados de los contenedores y estos solo habrían estado disponibles en formatos limitados. Ahora, estamos entusiasmados con la posibilidad de integrar los hallazgos en el pipeline antes de que pasen a la producción, lo que crea eficiencias de tiempo y costes para nuestro negocio", añade.
Puede consultar más información sobre la seguridad de los contenedores, aquí.
*Informe de Research and Markets, "Global Container Security Market Size, Share & Industry Trends Analysis Report By Component (Products and Services), By Services Type, By Organization Size, By Vertical, By Regional Outlook and Forecast, 2021-2027", febrero de 2022.
Acerca de Veracode
Veracode es un socio líder en AppSec para la construcción de software seguro, reduciendo el riesgo de violaciones de seguridad y aumentando la productividad de los equipos de seguridad y desarrollo. Como resultado, las empresas que utilizan Veracode son capaces de avanzar en su negocio y en el mundo. Al combinar la automatización de los procesos, las integraciones, la velocidad y la capacidad de respuesta, Veracode proporciona a las empresas resultados precisos y fiables que les permiten centrar sus esfuerzos en solucionar, y no sólo en encontrar, posibles vulnerabilidades. Más información en www.veracode.com, en el blog de Veracode y en Twitter.
Copyright © 2022 Veracode, Inc. todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas y logotipos son propiedad de sus respectivos dueños. Todas las demás marcas mencionadas en este comunicado son propiedad de sus respectivos dueños.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20221006005544/es/