La seguridad en mi bolsillo
Cuando desarrollo código, ya sea para páginas web, scripts, apps, etc., procuro desarrollar un software seguro desde su inicio, evitando parches y modificaciones de última hora.
Para poder conseguirlo, en muchas ocasiones no sólo basta con tener conocimientos de seguridad IT, ya que tal vez, aunque el código desarrollado sea seguro, puede haber librerías utilizadas que no lo sean o, por qué no, errores humanos.
Por suerte, puedo contar con la ayuda de AppScan, escáner de aplicaciones de IBM Security, el cual puedo utilizar sólo cuando lo necesite sin realizar ninguna inversión inicial. Esto es así debido a que está disponible como servicio en modo de pago por uso, tanto en Bluemix como en el Marketplace de IBM. De esta forma, puedo asegurar mis aplicaciones iOS o Android, páginas web, aplicaciones de escritorio, etc. desde su creación.
Cuando comento esto con otros desarrolladores, muchos de ellos antes de conocer lo anterior, tenían pensamientos como:
“IBM se orienta únicamente a empresas”, “Es de IBM, inaccesible económicamente para mí”, “Ojalá pudiera utilizar el software de seguridad de IBM en mi propia casa…”
Dándose cuenta de que estaban muy equivocados. De hecho, todavía hay más.
Si ya es interesante poder escanear aplicaciones de distinto tipo, de manera dinámica y estática, AppScan también proporciona a los escaneos una capa cognitiva, que prioriza de manera autónoma vulnerabilidades, ofrece soluciones y va más allá de lo que una persona podría hacer en tan solo segundos. Además, ¿quién no ha oído aquello de que el software opensource no es seguro, y que se pueden ver muchas librerías con vulnerabilidades? Esto para mí, ya no es un problema. AppScan es capaz de aconsejarme analizando el software opensource que utilizo, por ejemplo, sugiriéndome utilizar o no librerías determinadas.
Pero en vez de contarlo, he aquí un ejemplo de este producto en funcionamiento:
Dispongo de una aplicación Java con distintas vulnerabilidades y me gustaría modificarla para garantizar la seguridad de la misma. ¿Por dónde empiezo?, si encuentro una vulnerabilidad, ¿cómo lo arreglo?, ¿qué debería solucionar primero?
En primer lugar, elijo del catálogo Bluemix el servicio Application Security on Cloud:
Después, selecciono qué tipo de aplicación necesito escanear. AppScan acepta distintos lenguajes como Java, .Net, Ruby, Javascript, Node.js, Visual C/C++, PHP y más.
Una vez seleccionado el tipo, es necesario descargarse el plugin que nos ofrece la página web. Es un fichero .bat, el cual configura variables de entorno y ofrece un asistente de configuración de plugin para Eclipse, Maven, Visual Studio e IntelliJ, y conectará los proyectos con el panel de control cloud. Allí se dispondrá de un inventario de aplicaciones, sus estados, resultados a escaneos y más información de utilidad.
Además de los plugins para los entornos de programación comentados, también destacar la posibilidad de conectar con Jenkins, gestionar los escaneos mediante de línea de comandos y/o REST API y exportar sus resultados en formato XML.
En definitiva, IBM no sólo me proporciona un escáner de vulnerabilidades, sino que va mucho más allá: Dispongo de una herramienta cognitiva, que además de hacer su trabajo y mejorar cada día por sí sola, me recomienda y ayuda en la toma de decisiones, y, por supuesto, sólo facturo cuando la utilizo.
¿Quieres ver más casos? ¡Echa un vistazo a la web para desarrolladores!
Enlaces de interés:
Bluemix
IBM Marketplace
Información de contacto en www.EnriqueITE.com