Anúncio do beta aberto do sistema renovado de geração de relatórios de segurança da Snyk
Daniel Berman
9 de novembro de 2022
0 minutos de leituraTemos o grande prazer de anunciar o beta aberto dos novos recursos de geração de relatórios da Snyk, que darão às equipes de desenvolvimento e segurança uma visibilidade fácil, abrangente e granular dos riscos nos aplicativos.
Esse é o primeiro estágio de um esforço em várias camadas para reformular e melhorar continuamente os serviços de dados da Snyk. Para ajudar a liderar esse esforço, a Snyk adquiriu a empresa de análise de dados TopCoat no início deste ano. Os novos recursos de geração de relatórios de segurança que anunciamos hoje representam o primeiro de muitos passos para transformar a análise de dados em um recurso central na plataforma da Snyk. Anunciaremos em breve outras novas maneiras de extrair valor dos dados de segurança da Snyk.
Os clientes da Snyk no plano Business ou Enterprise agora podem acessar esses novos recursos pela interface de usuário da Snyk. Para habilitá-los, clique em Settings (Configurações) e depois em Snyk Preview (Prévia da Snyk).
A importância de uma boa visibilidade
Em uma cultura de DevSecOps, todas as equipes que criam um aplicativo também são coletivamente responsáveis pela sua proteção. Esse tipo de cultura é difícil de desenvolver e manter ao longo do tempo sem a devida visibilidade dos riscos. Sem visibilidade, as equipes e os líderes de segurança não podem rastrear e avaliar com precisão a postura geral de riscos de uma organização. Também não é possível priorizar efetivamente os esforços de retificação para os desenvolvedores, que ficam encarregados de corrigir problemas supostamente prioritários e desviam a atenção do desenvolvimento em si. Isso pode levar a uma falta de confiança nos processos de segurança.
Por outro lado, obter boa visibilidade não é uma tarefa fácil. Aplicativos modernos e nativos da nuvem introduzem riscos por meio de vários componentes. O código personalizado escrito internamente pelos desenvolvedores faz parte desses riscos, mas pacotes de código aberto, contêineres e infraestrutura como código também contribuem cada vez mais para a insegurança. As ferramentas de segurança tradicionais usadas para verificar os componentes em busca de vulnerabilidades geralmente são implantadas de maneira inconsistente, resultando em lacunas de visibilidade ou conjuntos discrepantes de dados de relatórios. Além disso, os dados de segurança gerados por essas ferramentas costumam ser confusos, difíceis de se interpretar e desprovidos de insights práticos.
Sistema renovado de relatórios da Snyk
Os recursos renovados de geração de relatórios da Snyk fornecem às equipes de desenvolvimento e segurança a visibilidade necessária para manter conversas sobre dados que promovem práticas de responsabilidade compartilhada, prestação de contas e retificação eficaz em toda a organização.
O sistema renovado de relatórios da Snyk implementa as melhores ferramentas de processamento de dados da categoria para garantir otimização de desempenho e confiabilidade. O recurso de geração de relatórios também fornece cobertura abrangente de todos os componentes de aplicativos modernos em um local central e permite acesso a dados com base em função para os usuários em toda a organização. E é fácil de usar!
Com os novos recursos de geração de relatórios do Snyk, os usuários podem:
Identificar e relatar os riscos mais significativos, além de definir prioridades de correção.
Descrever o tipo, o volume e o estado de emergência das vulnerabilidades detectadas e dos aplicativos afetados.
Acompanhar o ritmo e o progresso da remediação.
Exibir métricas de longo prazo e de alto nível.
Comunicar tendências, prioridades, progresso e riscos a executivos, conselhos de administração, clientes e parceiros.
Vamos ver alguns dos principais novos recursos disponíveis como parte do beta aberto.
Acessar, analisar e compartilhar dados de relatórios de segurança com facilidade
A Snyk sempre se concentrou em facilitar o desenvolvimento rápido para os usuários e, ao mesmo tempo, manter a segurança. Fluxos de trabalho práticos são extremamente importantes ao tentar obter visibilidade dos riscos, e nossos recursos renovados de geração de relatórios foram projetados com isso em mente.
Filtragem e classificação
Os relatórios da Snyk podem ser decompostos e analisados para garantir que você obtenha a visualização específica necessária para sanar suas dúvidas de segurança.
As tabelas podem ser classificadas e ajustadas para mostrar as colunas de maior interesse, e novos filtros também estão disponíveis para ajudar a detalhar os dados mais importantes.
É possível por produto da Snyk (incluindo o Snyk Code – falaremos mais sobre isso depois!). Isso ajuda você a se concentrar rapidamente em um tipo específico de problema. Por exemplo, existe a opção de destacar apenas problemas em dependências de código aberto ou apenas problemas na infraestrutura como código.
Os novos filtros incluem nome do pacote, CVE, CWE, data da última introdução, data da última resolução, tags de projeto, atributos de projeto e vários outros.
Isso é extremamente útil quando você quer identificar de imediato tipos específicos de problemas em determinados projetos. No exemplo abaixo, identificamos a vulnerabilidade Log4Shell em três projetos críticos:
Compartilhamento de dados
A experiência de compartilhamento também foi modernizada. Agora os filtros são persistentes no URL. Usando o botão Copy URL (Copiar URL) no canto superior direito da página, você pode compartilhar facilmente o URL da visualização com sua equipe. Da mesma forma, os relatórios agora podem ser exportados para um PDF formatado (ou arquivo CSV) para facilitar o compartilhamento com as partes interessadas da empresa.
Uma visualização unificada dos riscos nos seus aplicativos
Conforme mencionado, os riscos dos aplicativos podem ser introduzidos por cada um dos componentes que compõem o código-fonte. Os relatórios da Snyk também incluem o Snyk Code, ou seja, é possível rastrear e relatar problemas de segurança introduzidos pelo código que seus desenvolvedores criaram internamente, além de problemas introduzidos pelas dependências de código aberto, contêineres e configurações de infraestrutura como código. Isso fornece visibilidade abrangente dos riscos em seus aplicativos em um só local centralizado, simplificando drasticamente seus fluxos de trabalho de geração de relatórios.
Obtenha as respostas certas para cada tipo de dúvida de segurança
Você precisa comparar esforços de retificação entre equipes, atestar a conformidade com a lista Top 10 do OWASP, responder a uma vulnerabilidade crítica de dia zero ou compartilhar um resumo executivo com seu conselho de administração? O sistema renovado de relatórios da Snyk fornece os dados necessários e as melhores ferramentas para analisá-los, ajudando você a tirar todas as suas dúvidas.
Esse sistema também inclui relatórios integrados que atendem a uma ampla variedade de casos de uso diferentes.
Issues Detail (Detalhe dos problemas)
Fornece uma lista abrangente e detalhada de todos os problemas identificados pela Snyk nos seus aplicativos. Esse relatório é ideal para ajudar as equipes a priorizar a remediação com base na estratégia de gerenciamento de problemas em prática. Por exemplo, a priorização pode variar com base na gravidade, importância ou tipo do projeto, CVE/CWE específico e mais. Ele também pode ajudar você a entender se está em conformidade com padrões específicos do setor, como o Top 10 do OWASP.
Vulnerabilities Detail (Detalhe das vulnerabilidades)
Fornece uma lista abrangente e detalhada de todas as vulnerabilidades identificadas pela Snyk nos seus aplicativos. Semelhante ao Issues Detail (Detalhe das vulnerabilidades), esse relatório é ideal para ajudar as equipes a priorizar a remediação, mas também contribui para a realização de auditoria de aplicativos e para a identificação da exposição a vulnerabilidades específicas.
No exemplo abaixo, filtramos o relatório para identificar todas as ocorrências da vulnerabilidade Log4Shell (CVE-2021-44228) em todos os nossos projetos de código aberto.
Issues Summary (Resumo dos problemas)
Fornece uma visão geral agregada e de alto nível dos riscos nos aplicativos, destacando métricas como número de problemas identificados e resolvidos e tempo médio de resolução. Esse relatório também apresenta gráficos que descrevem janelas de exposição, o tempo até a resolução ao longo de um período específico e uma tabela de detalhamento dos riscos. É ideal para medir o sucesso, bem como para informar executivos e partes interessadas da empresa.
Com as novas opções de classificação e filtragem mencionadas acima, você pode detalhar os dados desses relatórios para garantir o nível de granularidade necessário para responder às suas dúvidas de segurança específicas.
O compromisso da Snyk com serviços de dados aprimorados
O acesso aos dados de segurança e a capacidade de analisá-los e relatá-los são essenciais para ganhar a visibilidade necessária para um programa de segurança eficaz, baseado na confiança entre as equipes de desenvolvimento e de segurança.
Por mais importantes que sejam essas novas melhorias para darmos esse tipo de visibilidade aos clientes, elas não são a última etapa na evolução dos recursos de geração de relatórios e do serviço de dados da Snyk como um todo. Pretendemos implementar aprimoramentos adicionais gradualmente, incluindo novas maneiras de decompor e analisar dados, bem como novos tipos de relatórios integrados para dar suporte a casos de uso personalizados. Aguarde as novidades!
Os recursos descritos acima estão disponíveis no beta aberto para qualquer cliente da Snyk que tenha o plano Snyk Business ou Snyk Enterprise. Para começar a usar esses recursos, basta habilitá-los na página Snyk Preview (Prévia da Snyk). Basta clicar em Settings (Configurações) e depois em Snyk Preview (Prévia da Snyk).
O beta aberto está sendo organizado após um beta fechado e um período de testes completos. Porém, se você encontrar algum problema, será um prazer seu feedback.
Amado por desenvolvedores. confiável por segurança
As ferramentas da Snyk com foco nos desenvolvedores oferecem segurança integrada e automatizada que atende aos seus requisitos de governança e conformidade.