Jit y ZAP: Mejorando la seguridad de la programación

0
4
Jit y ZAP: Mejorando la seguridad de la programación

iStockphoto/imágenes falsas

Jit, una nueva empresa de seguridad de programación, sueña con ser una potencia de seguridad superior. Para ayudar a hacer esos sueños realidad, Jit contrató recientemente a Simon Bennetts, el fundador del escáner de seguridad de aplicaciones web más popular del mundo, Open Web Application Security Project (OWASP) Zed Attack Proxy (ZAP).

Simon Bennetts, fundador de ZAP

simon bennetts

En Jit, Bennetts continuará desarrollando Zap de código abierto. Una herramienta de prueba de penetración de pruebas de seguridad de aplicaciones dinámicas (DAST), ZAP adopta un enfoque pragmático para encontrar problemas de seguridad.

Ejecuta ataques simulados en una aplicación desde el lado del usuario para encontrar vulnerabilidades. Funciona como un “proxy man-in-the-middle”, por lo que intercepta e inspecciona los mensajes enviados entre el navegador y la aplicación web. Cuando aparecen resultados inesperados, se pueden usar para reducir e identificar vulnerabilidades de seguridad. ZAP ya se estaba utilizando como uno de los programas de escaneo Jit subyacentes.

Ahora no piense ni por un momento que Jit planea convertir a Zap en un programa comercial per se. El plan de Jit, tal como ha sido desde el principio, es ofrecer “seguridad justo a tiempo” para los desarrolladores. Lo hace al proporcionar un marco de orquestación, una arquitectura de complemento que unifica las mejores herramientas de seguridad de código abierto como OWASP Dependency-Check, npm-audit, GoSec, Gitleaks, Trivy y, por supuesto, Zap en un simple y Flujo de trabajo consistente del desarrollador.

También: Es hora de dejar de usar C y C++ para nuevos proyectos, dice Microsoft Azure CTO

El punto, dijo David Melamed, CTO de Jit, es que “los líderes de seguridad agregan más herramientas, más rápido de lo que sus equipos pueden implementar, ajustar y configurar donde el riesgo y la eficiencia del gasto se desalinean”. ¿La solución? “Implemente DevSecOps donde la seguridad del producto se entrega como un servicio en la canalización de CI/CD, con un plan de seguridad del producto que sigue los principios de Git”.

Donde Bennetts ve que ZAP encaja, dijo en una entrevista el jueves, es: “Los desafíos en torno a las aplicaciones web modernas es que hay mucho que debe comprender para protegerlas. Las herramientas de seguridad del código han sido demasiado aisladas, necesitamos combinar estas herramientas para darnos una imagen completa de lo que se necesita hacer para asegurarlos”.

Continuó: “Claro, los desarrolladores pueden configurar todas estas cosas por sí mismos con código abierto. Pero la cuestión es que hay tantas herramientas, y debes aprender sobre ellas y configurarlas.

“O, con Jit, brindamos una solución combinada fácil de usar que hace que sea mucho más fácil para las empresas incorporarse y funcionar bien, estas son las cosas que necesitamos; obtenerlas, configurarlas, ajustarlas y ejecutarlos, para obtener los resultados con todo en un solo lugar”.

“La visión de Jit”, agregó Melamed, en resumen, “es proporcionar a los desarrolladores acceso contextualmente relevante y justo a tiempo al conocimiento y las herramientas que necesitan para asegurar las aplicaciones que construyen en toda la pila de aplicaciones, todo mientras acelera el desarrollo proceso.”

También: Chainguard lanza Wolfi, una ‘desdistribución’ de Linux

Bennetts podría haber ido a otra parte. Me confió: “Consideré trabajar con muchas empresas con productos patentados, pero mi corazón pertenece al código abierto. Afortunadamente, encontré en Jit un equipo brillante que está profundamente comprometido con el código abierto y con capacitar a los desarrolladores para crear aplicaciones seguras”.

En cuanto a ZAP, Bennets dijo que él y el resto del equipo de desarrolladores están trabajando duro en la próxima versión. Incluirá una pila de redes más rápida y mejorada que puede funcionar con protocolos modernos como HTTP/2. Sus arañas, que se utilizan para explorar aplicaciones, también funcionarán mejor con más programas web e incluirán la capacidad de trabajar con interfaces de programación de aplicaciones (API). Esta próxima versión saldrá a finales de este año.

Historias relacionadas:

LEAVE A REPLY

Please enter your comment!
Please enter your name here