SAP hace Open Source su herramienta de análisis de vulnerabilidades para Java y Python
Publicado por
campusMVP
el
SAP acaba de hacer Open Source y liberar por tanto el código de su herramienta de evaluación de vulnerabilidades de código VAT (Vulnerability Assesment Tool).
La herramienta sirve para analizar código de Java y de Python, y ha sido probada durante dos años internamente, realizando más de 20.000 análisis en unos 600 proyectos de la compañía.
Se centra en la detección de componentes Open Source que utilice tu proyecto y que sean vulnerables, y utiliza tanto análisis estático como testeo automatizado para determinar el contexto en el que se ejecuta el código y mejorar la precisión de los resultados. Así:
- Detecta si hay dependencias de componentes de código abierto que tengan vulnerabilidades conocidas y además te informa de novedades de seguridad relacionadas con ellos.
- Recaba evidencias sobre la ejecución del código vulnerable en diversos contextos de la aplicación
- Da soporte a los desarrolladores para que puedan arreglar los problemas.
Trata de abordar todos los problemas especificados en el Top10 de OWASP A9, que suelen ser las causas de la mayor parte de las brechas de seguridad. Utiliza las bases de datos de vulnerabilidades del gobierno estadounidense, y la lista CVE. Funciona tanto en desarrollo como en producción.
Según SAP, la mayor parte de los problemas de seguridad que se producen en las aplicaciones expuestas a Internet son causadas por no actualizar componentes que se sabe que son vulnerables. Muchas empresas tardan meses en hacerlo y otras no lo hacen nunca. Con VAT la idea es que puedas arreglarlas a las pocas horas o como mucho, días.
Se puede usar directamente como un contenedor Docker para ponerlo a funcionar de manera rápida y sencilla. Y por supuesto se puede descargar el código fuente y compilarlo.
Aquí te dejamos la página en Github del proyecto.
campusMVP es la mejor forma de aprender a programar online y en español. En nuestros cursos solamente encontrarás contenidos propios de alta calidad (teoría+vídeos+prácticas) creados y tutelados por los principales expertos del sector. Nosotros vamos mucho más allá de una simple colección de vídeos colgados en Internet porque nuestro principal objetivo es que tú aprendas.
Ver todos los posts de campusMVP
Archivado en:
Herramientas
¿Te ha gustado este artículo? ¡Compártelo!