Ampliación de la seguridad de los desarrolladores con pruebas dinámicas orientadas a los desarrolladores

Hoy anunciamos la emocionante noticia de que Snyk adquirió Probely, un proveedor moderno y de rápido crecimiento de pruebas de seguridad de API y pruebas de seguridad de aplicaciones dinámicas (DAST). Con esta incorporación, Snyk ofrece ahora una gama completa de soluciones de desarrollo y seguridad de aplicaciones, y los clientes se benefician de inmediato de una gama más amplia de técnicas de prueba fáciles de utilizar por los desarrolladores. 

La creciente importancia que empresas de todo tipo y tamaño conceden a las aplicaciones orientadas a la web consolidó aún más las pruebas de API y la “DAST moderna” como aspecto fundamental de un programa de seguridad de las aplicaciones. Esto se acentuó por la “economía de las API” y la era de la IA generativa, de modo que la seguridad de las API que se exponen como parte de la funcionalidad de los modelos extensos de lenguaje (LLM) seguirá impulsando la creciente demanda de pruebas de API y aplicaciones web. 

Una ampliación natural de la cartera de Snyk... Enfoque orientado al desarrollador

Dado que somos líderes consolidados en seguridad de aplicaciones, puede que no sorprenda que Snyk haya decidido entrar en los mercados de las pruebas de seguridad de API y DAST. Sin embargo, diré que este paso se viene debatiendo desde hace tiempo en Snyk y, muchas veces, se determinó que no era lo más adecuado para nosotros. Durante mucho tiempo, las soluciones de pruebas de API/ aplicaciones dinámicas a menudo se situaban “más a la derecha”, mientras que la filosofía de Snyk siempre se centró en facilitar una mentalidad y un modelo de “cambio a la izquierda”. Nuestro compromiso con la seguridad de los desarrolladores impulsó esta mentalidad, centrada en trasladar los controles a una fase más temprana del SDLC y, al mismo tiempo, garantizar un enfoque orientado a los desarrolladores que reduzca al mínimo la interrupción de sus flujos de trabajo. A través de asociaciones e integraciones con proveedores de soluciones DAST, apoyamos a los clientes que con razón querían incluir esta categoría de pruebas en su programa AppSec, pero en general vimos una falta de alineación con nuestra misión y ADN.

Bien, un par de cosas cambiaron ese punto de vista. En primer lugar, surgió una nueva categoría de soluciones DAST modernas que, mediante la integración basada en CLI con pipelines CI/CD, consiguieron adelantar las pruebas en el proceso de desarrollo. El segundo factor es nuestro propio punto de vista sobre la relación entre DAST y la seguridad de los desarrolladores. Históricamente, nunca pensamos en DAST como parte de este enfoque porque se consideraba predominantemente como una herramienta de “cambio a la derecha”, no alineada con el requisito de enfoque en el desarrollador. Sin embargo, en los últimos años, desplazamos el equilibrio y el peso de la seguridad de los desarrolladores más hacia la colaboración entre los equipos de desarrolladores y de seguridad, y a través de esta lente, una herramienta dinámica de pruebas de seguridad que realmente pueda tener en cuenta los requisitos del enfoque en el desarrollador encaja claramente con nuestra misión.

Otro factor importante, no solo para entrar en estos mercados, sino también para dar prioridad a Probely como objetivo de adquisición, es la ya mencionada tendencia en torno a las API como motor de las nuevas aplicaciones impulsadas por LLM que se están creando en la era de la IA generativa.  A medida que los modelos de IA se vuelven más sofisticados y los desarrolladores los integran cada vez más en las aplicaciones, aumenta la dependencia de las API para acceder a los datos y procesarlos. Esta interconexión genera nuevos vectores de ataque para los agentes maliciosos, por lo que es crucial proteger las API frente a posibles amenazas.  Al agregar las pruebas de seguridad de API a nuestra cartera, podemos ayudar mejor a los clientes a detectar amenazas basadas en LLM, proteger sus modelos y datos, y permitirles crear con confianza aplicaciones impulsadas por IA.

Estos factores se combinan para que ahora las pruebas dinámicas de API y aplicaciones web entren más de lleno en el modelo de seguridad para desarrolladores y ayuden a esta técnica a superar algunos problemas de adopción del pasado, siempre que se haga con la tecnología adecuada.

DAST con verdadera orientación al desarrollador

Conocimos al equipo de Probely y nos sumergimos en su tecnología cuando buscábamos nuestra propia solución de pruebas dinámicas de aplicaciones y API para nuestro equipo de seguridad de productos. Como parte de nuestra preparación para conseguir la autorización del FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones), buscamos ir más allá de nuestro uso interno de Snyk, que eliminaba los problemas de seguridad de las aplicaciones antes de la implementación, para abordar las necesidades específicas de los auditores que requieren pruebas dinámicas. Estuvimos estudiando herramientas DAST heredadas, pero decidimos evaluar también Probely y quedamos inmediatamente impresionados por la precisión de los resultados de las pruebas, la facilidad de uso de la herramienta y la reducción del ruido de los falsos positivos con los que tendría que lidiar nuestro equipo de ProdSec. 

Llegamos a conocer al equipo a través del proceso y, además de estos resultados, quedó claro que las filosofías que impulsaron su hoja de ruta de innovación dieron como resultado un verdadero proveedor de pruebas dinámicas de API/web orientadas al desarrollador. 

Al reconocer que había mucho menos valor en una solución que logra una baja adopción, el equipo de Probely se propuso desde el primer día garantizar que su tecnología redujera al mínimo el impacto y la distracción de los desarrolladores. Probely consigue esto de 3 maneras fundamentales... en primer lugar, al ofrecer las tasas de falsos positivos más bajas del sector (en torno al 0,1 %), garantiza que los desarrolladores solo tengan que solucionar los problemas que representan un verdadero riesgo para la seguridad de la aplicación. En segundo lugar, Probely ofrece una implementación y una experiencia de usuario muy sencillas que reducen la carga cognitiva que supone para los desarrolladores el aprendizaje de nuevas herramientas o la transición a las pruebas dinámicas. Por último, Probely sigue un modelo de desarrollo que prioriza la API, seguido de la habilitación de funciones CLI que admiten el escaneo DAST automatizado en los pipelines CI/CD. También disponen de una sólida API que facilita la integración en diversas herramientas para desarrolladores, incluidas las soluciones de seguimiento de incidencias, con el fin de incorporarlas en los flujos de trabajo de los desarrolladores.

Como elemento de nuestro proceso de diligencia, recurrimos a nuestro socio de diseño de confianza, a clientes y a algunas de las mayores instituciones financieras y minoristas del mundo. Pasamos tiempo con clientes conjuntos de Snyk y Probely, y a través de todas estas conversaciones sobre Probely y sus capacidades, supimos que habíamos dado en el clavo con la necesidad de una capacidad de seguridad de aplicaciones entregada con sencillez y madurez empresarial, pero también teniendo en cuenta la priorización del desarrollador de la que nos enorgullecemos.

Naturalmente, cuando se adquiere una empresa tecnológica, se aporta algo más que la tecnología. Y si la tecnología de Probely nos entusiasmó por su valor potencial actual y futuro, el equipo de Probely nos entusiasmó de la misma manera, y estamos encantados de incorporarlos a la familia Snyk. Cabe destacar que los dos fundadores de Probely eran profesionales y usuarios de herramientas de seguridad como desarrolladores, y esta experiencia los llevó a crear una solución de pruebas dinámicas con un enfoque orientado al desarrollador. Además, entienden que la seguridad de las aplicaciones es un “deporte de equipo” entre desarrolladores y seguridad, y crearon su producto centrándose en lo que ellos habrían querido utilizar al dirigir equipos de seguridad. 

Dar el siguiente paso en la gestión de riesgos de las aplicaciones

Otra consideración importante a la hora de evaluar la oportunidad del mercado DAST y API fue su adecuación a largo plazo a nuestra misión y enfoque de futuro. Basándonos en las conversaciones con los clientes, está claro que, al igual que SAST/SCA, los problemas detectados en DAST recaen en última instancia en los desarrolladores, que deben solucionarlos, y en los equipos de seguridad, que deben gestionarlos mediante políticas y, cada vez más, un enfoque basado en los riesgos. Además, la seguridad de las API está aterrizando de lleno en el campo de la seguridad de las aplicaciones. Teniendo en cuenta estos factores, es difícil decir que estamos cumpliendo nuestra misión de “permitir a las organizaciones desarrollar con rapidez y mantener la seguridad” sin ofrecer visibilidad y cobertura en estas áreas de importancia creciente. 

Como probablemente sepas, el año pasado lanzamos Snyk AppRisk como base para impulsar la priorización específica de aplicaciones y basada en riesgos. Esta nueva oferta y su capacidad para ofrecer una visibilidad consolidada de los recursos y la cobertura de seguridad en todo el entorno de las aplicaciones tuvieron una gran aceptación. Las capacidades de descubrimiento y cobertura de Probely se alinean perfectamente con esta progresión, ya que AppSec busca visibilidad en los recursos de aplicaciones relevantes para el dominio DAST, lo que incluye aplicaciones de una sola página, API y dominios web. AppSec quiere saber qué recursos existen y evaluar y supervisar el riesgo presente en las versiones de producción de estos recursos, al igual que lo hace durante la etapa previa a la implementación a través de SAST y SCA.

Esta adquisición también amplió nuestra cartera a la gestión de superficies de ataque externas (EASM). ​Todos sabemos que lo fundamental para un programa AppSec es tener una comprensión clara de cómo es la superficie de ataque. Pero es más fácil decirlo que hacerlo. Con la presentación de Discovery a principios de este año, Probely puede ayudar a las organizaciones a encontrar, gestionar y priorizar su inventario de API y aplicaciones web para descubrir toda su superficie de ataque externa. Discovery lo consigue ejecutando un descubrimiento automático y no intrusivo de los servicios y aplicaciones que se ejecutan en la infraestructura de un cliente.  

Dada su amplitud y su foco en puntos problemáticos crecientes, vemos un enorme potencial de valor agregado para nuestros clientes a medida que trabajamos en la integración progresiva de la tecnología de Probely en la plataforma Snyk y su enfoque en ofrecer la mejor priorización del sector y permitir una gestión holística del riesgo de las aplicaciones. 

Snyk + Probely = Valor inmediato y continuación del recorrido

Hoy es el primer día de integración de este nuevo conjunto de funciones en nuestra cartera, y estamos muy contentos de empezar a compartir con ustedes nuestros planes. Hoy vemos una gran sinergia y veremos una mayor con el paso del tiempo, y estamos deseando compartir esos planes y explorar cómo la incorporación de DAST en tu recorrido con Snyk aportará un valor y un impacto inmediatos a tus programas de AppSec.

Si deseas obtener más información sobre este nuevo y emocionante paso de Snyk, te animo a que te registres en nuestro próximo seminario web el 9 de diciembre a las 11:30, hora del este, en el que seré el anfitrión y estaré acompañado por Nuno Loureiro, antiguo director ejecutivo de Probely. Nos sumergiremos un poco en lo que los clientes nos dicen sobre la creciente importancia de las pruebas de seguridad de API, lo que significa construir una DAST “moderna” y verdaderamente “Dev-first” (orientada al desarrollador), y discutiremos la alineación de los crecientes desafíos de la seguridad de las aplicaciones web/API y el potencial de la priorización basada en el riesgo.