¿Qué es Veracode?
Veracode es una completa plataforma de seguridad de aplicaciones nativa de la nube. Está diseñada para ayudar a las organizaciones a proteger su software integrando sin problemas las pruebas de seguridad en el ciclo de vida del desarrollo (DevSecOps). La plataforma proporciona múltiples técnicas de análisis, incluyendo Análisis Estático (SAST), Análisis Dinámico (DAST), Análisis de Composición de Software (SCA) y Pruebas de Seguridad de Aplicaciones Interactivas (IAST), para identificar y remediar vulnerabilidades en código propio, bibliotecas de código abierto y aplicaciones en ejecución.
Características Clave
- Análisis Estático (SAST): Escanea código no en ejecución para encontrar fallos de seguridad y vulnerabilidades en una fase temprana del proceso de desarrollo.
- Análisis Dinámico (DAST): Prueba aplicaciones web y API en ejecución en busca de vulnerabilidades simulando ataques externos.
- Análisis de Composición de Software (SCA): Identifica componentes de código abierto en tu base de código, señala vulnerabilidades conocidas y ayuda a gestionar el riesgo de licencias.
- Plataforma Unificada: Combina múltiples tipos de pruebas de seguridad en una única plataforma con políticas, informes y gestión de vulnerabilidades centralizados.
- Capacitación para Desarrolladores: Proporciona integraciones con IDE, escaneo en pipelines de CI/CD y formación para desarrolladores para empoderarlos a escribir código seguro desde el principio.
- Informes de Cumplimiento: Genera informes detallados para ayudar a cumplir con los estándares de cumplimiento normativo y de la industria como PCI DSS, GDPR y OWASP Top 10.
Casos de Uso
- Integración DevSecOps: Automatiza las pruebas de seguridad dentro de los pipelines de CI/CD para encontrar y corregir vulnerabilidades sin ralentizar el desarrollo.
- Gestión de Vulnerabilidades: Obtén una vista centralizada de la postura de seguridad en todas las aplicaciones para priorizar y gestionar eficazmente los esfuerzos de remediación.
- Gestión de Riesgos de Código Abierto: Descubre y gestiona vulnerabilidades y problemas de licencias en bibliotecas de terceros utilizadas en tus proyectos.
- Cumplimiento Normativo: Asegura que las aplicaciones cumplan con los requisitos de seguridad para diversas regulaciones gubernamentales y de la industria.
- Protección de Aplicaciones Web y API: Protégete contra ataques web comunes identificando vulnerabilidades en entornos de producción o preproducción.
Cómo Empezar
Una forma común de usar Veracode es ejecutando un escaneo de pipeline desde tu línea de comandos o herramienta de CI/CD. Esto permite una retroalimentación rápida sobre cambios de código más pequeños.
Primero, descarga el archivo JAR de Veracode Pipeline Scan desde la plataforma de Veracode. Luego, puedes ejecutar un escaneo usando un comando como este:
```bash
Asegúrate de tener Java instalado
Establece tus credenciales de la API de Veracode como variables de entorno
export VERACODE_API_KEY_ID=”TU_ID_DE_API” export VERACODE_API_KEY_SECRET=”TU_SECRETO_DE_API”
Ejecuta el escaneo en tu archivo de aplicación (p. ej., un WAR, JAR o ZIP)
java -jar pipeline-scan.jar –file tu_aplicacion.war –project_name “MiAppWeb”
Este comando sube el archivo de la aplicación a la plataforma de Veracode, realiza un escaneo estático y proporciona retroalimentación inmediata sobre cualquier fallo crítico directamente en tu terminal.
Precios
Veracode opera con un modelo de Pago/Suscripción. El precio se personaliza en función del número de aplicaciones, los tipos de escaneos requeridos y el tamaño del equipo de desarrollo. Los clientes potenciales generalmente necesitan contactar al equipo de ventas para obtener una cotización personalizada o una demostración.