Presentamos la versión beta abierta de la función renovada de elaboración de informes de seguridad de Snyk

Nos enorgullece presentar la versión beta abierta de las nuevas y renovadas funciones de elaboración de informes de Snyk, que les brindan a los equipos de desarrollo y seguridad una visibilidad integral, sencilla y detallada sobre los riesgos que plantean las aplicaciones.

Esta es la primera etapa de un esfuerzo en varios niveles para revisar y mejorar continuamente los servicios de datos de Snyk. Snyk adquirió la empresa de análisis de datos TopCoat a principios de 2022 para poder dirigir estos esfuerzos. Estas nuevas funciones de elaboración de informes de seguridad representan el primer paso (y de seguro no el único) en lograr que la analítica de datos sea una función principal en la plataforma de Snyk. En el futuro cercano, anunciaremos otras formas de extraer valor de los datos de seguridad de Snyk.

Los clientes de Snyk en el plan Comercial o Empresarial ahora pueden acceder a estas nuevas funcionalidades desde la interfaz de usuario de Snyk. Para habilitarlas, dirígete a Settings (Configuración) y luego selecciona Snyk Preview (Vista previa de Snyk).

La necesidad de una buena visibilidad

En la cultura de DevSecOps, todos los equipos que desarrollan una aplicación también son responsables de protegerla. Sin visualizar correctamente los riesgos, es muy difícil desarrollar y promover esta cultura a lo largo del tiempo. Sin visibilidad, los equipos de seguridad y liderazgo no pueden controlar ni evaluar de forma correcta la postura general de la organización ante los riesgos. Tampoco pueden priorizar con eficacia los esfuerzos de remedio para los equipos de desarrollo, quienes, al tener que corregir problemas que no deberían haberse priorizado, desaprovechan valioso tiempo de desarrollo. De esta forma, se puede perder la confianza en los procesos de seguridad.

De todos modos, obtener una visibilidad adecuada no es sencillo. Las modernas aplicaciones nativas de la nube representan riesgos desde diversos de sus componentes, que incluyen, por supuesto, el código personalizado escrito de forma interna por desarrolladores, pero también y cada vez más desde paquetes de código abierto, contenedores e infraestructura como código. Las herramientas de seguridad tradicionales que se utilizan para escanear estos componentes en busca de vulnerabilidades suelen implementarse de forma no consistente, lo que deja brechas de visibilidad o conjuntos dispares de datos en informes. Además, los datos sobre seguridad provenientes de estas herramientas suelen ser difíciles de manejar y consumir, y no suponen información práctica.

Elaboración de informes mejorada de Snyk

Las funcionalidades mejoradas de elaboración de informes de Snyk les brindan a los equipos de desarrollo y seguridad la visibilidad necesaria para tener conversaciones basadas en datos que promueven la responsabilidad compartida, la rendición de cuentas y los remedios efectivos en toda la organización.

Las nuevas funcionalidades de Snyk implementan las mejores herramientas de su clase en cuanto a procesamiento de datos para garantizar un mejor rendimiento y confiabilidad. A su vez, la elaboración de informes ofrece cobertura integral sobre todos los componentes de las aplicaciones modernas desde una única ubicación y habilita el acceso basado en roles para los usuarios de la organización. Además, es muy fácil de usar.

Con las nuevas funcionalidades de elaboración de informes de Snyk, los usuarios ahora pueden realizar las siguientes acciones:

• Identificar e informar los principales riesgos, y establecer prioridades sobre qué remediar.

• Describir el tipo, el volumen y la gravedad de las vulnerabilidades detectadas y las aplicaciones afectadas.

• Hacer un seguimiento del ritmo y el progreso de los remedios.

• Mostrar métricas a largo plazo y de alto nivel.

• Mostrar tendencias y comunicar prioridades, nivel de progreso y riesgos a personal ejecutivo, juntas, clientes y socios.

Observemos con más detalle algunas de las principales funcionalidades nuevas que están disponibles en la versión beta abierta.

Accede a datos de informes sobre seguridad, analízalos y compártelos fácilmente

El objetivo de Snyk siempre fue facilitarles el trabajo a los usuarios para que desarrollen rápido conservando la seguridad. La facilidad de uso y los flujos de trabajo sin inconvenientes son sumamente importantes al intentar obtener visibilidad de los riesgos, y nuestras capacidades renovadas de elaboración de informes se diseñaron considerando esto.

Filtros y clasificación

Los informes de Snyk pueden dividirse en partes a fin de garantizar que obtengas la visualización específica que necesitas para responder las dudas de seguridad que tengas.

Las tablas pueden ordenarse y ajustarse para mostrar las columnas que más te interesan, y ahora también tienes nuevos filtros para profundizar con más facilidad en los datos importantes.

Puedes filtrar por producto de Snyk, incluso Snyk Code (hablaremos de esto más adelante). De esta forma podrás enfocarte rápidamente en el tipo de problema específico que deseas abordar. Por ejemplo, puedes elegir poner tu atención solo en los problemas con las dependencias de código abierto o con la infraestructura como código.

Los nuevos filtros incluyen, entre otros, Package Name (Nombre de paquete), CVE (Vulnerabilidades y exposiciones comunes), CWE (Enumeración de debilidades comunes), Last Introduced Date (Última fecha de aparición), Last Resolved Date (Última fecha de resolución), Project Tags (Etiquetas de proyectos) y Projects Attributes (Atributos de proyectos).

Esto es muy útil si estás intentando identificar rápidamente tipos de problemas específicos en un proyecto determinado. En el siguiente ejemplo, identificamos la vulnerabilidad de Log4Shell en tres proyectos críticos:

Uso compartido de datos

También actualizamos la experiencia para compartir datos. Ahora los filtros son persistentes en las direcciones URL. Con el botón Copy URL (Copiar dirección URL), en la esquina superior derecha de la página, puedes compartir fácilmente la URL de la vista con tus colegas. Del mismo modo, puedes exportar informes en un PDF con formato (o un archivo CSV) de modo que sea más sencillo para las partes interesadas de la empresa.

Una vista unificada de los riesgos de todas las aplicaciones

Como mencionamos anteriormente, los riesgos de una aplicación pueden aparecer desde cada uno de los componentes que conforman el código fuente de la aplicación. La elaboración de informes de Snyk también abarca Snyk Code, lo que significa que ahora puedes controlar e informar los problemas de seguridad introducidos por el código que se desarrolla de forma interna, además de los problemas que surgen de las dependencias de código abierto, los contenedores y las configuraciones de infraestructura como código. De esta forma, tendrás visibilidad general de los riesgos en todas las aplicaciones desde una única ubicación, lo que simplificará de forma drástica los flujos de trabajo de elaboración de informes.

Todas las respuestas para las diversas preguntas de seguridad

No importa si estás comparando los esfuerzos de remedio de los equipos, verificando el cumplimiento de la lista de las 10 principales vulnerabilidades de OWASP, respondiendo ante una vulnerabilidad crítica de día cero o compartiendo un resumen ejecutivo con la junta directiva, las funcionalidades renovadas de elaboración de informes de Snyk te darán las respuestas específicas que buscas al brindarte los datos necesarios y las herramientas relevantes para analizarlos.

Esta nueva funcionalidad también ofrece informes integrados que sirven para una gran variedad de casos de uso.

Pantalla Issues Detail (Problemas detallados)

En esta página encontrarás una lista completa y detallada de todos los problemas que identificó Snyk en las aplicaciones. Este informe es ideal para ayudar a los equipos a priorizar remedios según la estrategia de gestión de problemas aplicada; por ejemplo, de acuerdo con la gravedad, la importancia o el tipo de proyecto, el valor CVE o CWE específico y otros. También te permitirá comprender si están cumpliendo con los estándares específicos de la industria, como las 10 principales vulnerabilidades de OWASP.

Pantalla Vulnerabilities Detail (Vulnerabilidades detalladas)

En esta página encontrarás una lista completa y detallada de todas las vulnerabilidades únicas que identificó Snyk en las aplicaciones. Similar a como funciona la pantalla Issues Detail (Problemas detallados), este informe es ideal para ayudar a los equipos a priorizar remedios, pero también te permite auditar las aplicaciones e identificar cuál es tu exposición a determinadas vulnerabilidades.

En el siguiente ejemplo, filtramos el informe para identificar todas las apariciones de la vulnerabilidad Log4Shell (CVE-2021-44228) en todos los proyectos de código abierto.

Pantalla Issues Summary (Resumen de problemas)

En esta página encontrarás una descripción general de alto nivel sobre el riesgo en todas las aplicaciones, donde se resaltan algunas métricas, como la cantidad de problemas identificados y resueltos, y el tiempo promedio de resolución. En este informe, también encontrarás gráficos que describen las ventanas de exposición, el tiempo de resolución sobre una determinada cantidad de tiempo y una tabla con el desglose de los riesgos. Es ideal para medir el éxito además de informar al personal ejecutivo y las partes interesadas del negocio.

Con las nuevas opciones de filtros y clasificación mencionadas arriba, puedes examinar aún más los datos de estos informes a fin de garantizar que tengas el nivel de detalle que necesitas para responder preguntas de seguridad específicas.

El compromiso de Snyk por ofrecer servicios de datos mejorados

El acceso a los datos sobre la seguridad y la capacidad de analizarlos y elaborar informes sobre ellos son cruciales para obtener la visibilidad necesaria a fin de crear un programa de seguridad efectivo sobre la base de la confianza entre los equipos de desarrollo y seguridad. 

Aunque estas nuevas mejoras son muy importantes para brindarles a nuestros clientes esta clase de visibilidad, de ninguna manera son el último paso en la evolución de las capacidades de elaboración de informes y servicios de datos de Snyk. Tenemos la intención de lanzar de forma gradual otras mejoras, que incluirán nuevas formas de dividir los datos para estudiarlos además de nuevos tipos de informes integrados para respaldar casos de uso particulares. Sigue nuestras noticias.

Las capacidades descritas más arriba están disponibles en versión beta abierta para cualquier cliente de Snyk que tenga el plan Empresarial o Comercial. Para comenzar a usar estas capacidades, tan solo habilítalas desde la página Snyk Preview (Vista previa de Snyk) en la interfaz de usuario de Snyk. Haz clic en Settings (Configuración) y luego en Snyk Preview (Vista previa de Snyk).

La versión beta abierta surge luego de una versión beta cerrada y un período de pruebas exhaustivas, pero si encuentras algún problema, nos encantaría leer tus comentarios.