La empresa de inteligencia de software Dynatrace ha introducido en el mercado Davis Security Advisor, una solución impulsada por IA que muestra, prioriza y detalla automáticamente las bibliotecas de software y paquetes de código abierto que suponen un riesgo; anticipa aquellos más sensibles para una organización. La solución se engloba en el Dynatrace Application Security Module y permite a los equipos de DevSecOps tomar decisiones más certeras en tiempo real, priorizando las vulnerabilidades más críticas y reduciendo el riesgo para la empresa. En definitiva, permite actuar de una manera más fiable y eficaz, dejando más tiempo a los profesionales para impulsar la innovación.
Según un informe de Forrester Research, realizado por el analista Sandy Carielli, “las aplicaciones son una de las principales causas de brechas externas de seguridad, el predominio del código abierto, APIs y contenedores, sólo añade complejidad al equipo de seguridad”. Este dato lo confirma la reciente investigación de Dynatrace donde el 89% de los responsables de seguridad (CISO) afirma que las arquitecturas nativas de la nube y los entornos de ejecución de contenedores dificultan la detección y gestión de vulnerabilidades de software.
La nueva solución está mejorada para entornos nativos de la nube y, impulsada por el motor de IA de Dynatrace Davis, monitoriza automáticamente todas las bibliotecas de software utilizadas en preproducción y producción, eliminando los falsos positivos. Además, Davis Security Advisor agrega datos de cada una de ellas en tiempo real y adelanta la corrección en función de múltiples variables de riesgo como el número de inseguridades provocadas por cada biblioteca de software o la gravedad de la fragilidad, basada en la clasificación del sistema de puntuación de vulnerabilidad común (CVSS) de cada una de ellas y si el código relevante se utiliza en el proceso de ejecución.
Asimismo, tiene en cuenta el contexto de la amenaza, que refleja si existe un exploit público (programa o secuencia de código malicioso) conocido para cada brecha de seguridad. Exposición de activos, que indica si el código vulnerable se está comunicando con Internet. Por otra parte, tiene en cuenta el posible impacto comercial determinado en función de si los procesos que incluye la biblioteca vulnerable están conectados a datos confidenciales.
Según Steve Tack, vicepresidente senior de gestión de producto de Dynatrace, “los procesos manuales y las soluciones parciales que no añaden datos de todos estos entornos obligan a los equipos a perder el tiempo persiguiendo falsos positivos y dejan a las organizaciones vulnerables. Al mostrar automáticamente las fragilidades más críticas y proporcionar detalles a nivel de código y priorización según el impacto comercial, Dynatrace permite que los equipos de DevSecOps trabajen de manera más inteligente, no más difícil, ya que reducen la exposición al riesgo de sus organizaciones”.