.
Jit, uma empresa de segurança de programação de inicialização, sonha em ser uma potência de segurança máxima. Para ajudar a tornar esses sonhos realidade, Jit contratou recentemente Simon Bennetts, o fundador do scanner de segurança de aplicativos da Web mais popular do mundo, o Open Web Application Security Project (OWASP) Zed Attack Proxy (ZAP).
Na Jit, Bennetts continuará desenvolvendo o Zap de código aberto. Uma ferramenta de teste de penetração de testes de segurança de aplicativos dinâmicos (DAST), o ZAP adota uma abordagem pragmática para encontrar problemas de segurança.
Ele executa ataques simulados em um aplicativo do lado do usuário para encontrar vulnerabilidades. Ele funciona como um “proxy man-in-the-middle”, de modo que intercepta e inspeciona as mensagens enviadas entre o navegador e o aplicativo da web. Quando aparecem resultados que não são esperados, eles podem ser usados para restringir e identificar vulnerabilidades de segurança. O ZAP já estava sendo usado como um dos programas de varredura Jit subjacentes.
Agora não pense por um momento que Jit planeja transformar Zap em um programa comercial per se. O plano de Jit, como tem sido desde o início, é fornecer “Segurança Just-In-Time” para desenvolvedores. Ele faz isso fornecendo uma estrutura de orquestração, arquitetura de plug-in que unifica as melhores ferramentas de segurança de código aberto, como OWASP Dependency-Check, npm-audit, GoSec, Gitleaks, Trivy e, claro, Zap em um fluxo de trabalho de desenvolvedor consistente.
Também: É hora de parar de usar C e C++ para novos projetos, diz Microsoft Azure CTO
O ponto, disse David Melamed, CTO da Jit, é que “os líderes de segurança adicionam mais ferramentas, mais rápido do que suas equipes podem implementar, ajustar e configurá-las onde o risco e a eficiência dos gastos ficam desalinhados”. A solução? “Implemente o DevSecOps onde a segurança do produto é entregue como um serviço no pipeline de CI/CD, com um plano de segurança do produto que segue os princípios do Git.”
Onde Bennetts vê o ZAP se encaixando, ele disse em uma entrevista na quinta-feira, é: “Os desafios em torno dos aplicativos da Web modernos é que há muito que você precisa entender para protegê-los. As ferramentas de segurança de código foram muito isoladas, precisamos combinar esses ferramentas para nos dar uma visão completa do que precisa ser feito para protegê-los.”
Ele continuou: “Claro, os desenvolvedores podem configurar todas essas coisas com código aberto. Mas o problema é que existem tantas ferramentas e você deve aprender sobre elas e configurá-las.
“Ou, com o Jit, fornecemos uma solução combinada fácil de usar que torna muito mais fácil para as empresas aderirem e irem bem, essas são as coisas que precisamos; obtê-los, configurá-los, ajustá-los e executá-los, para obter os resultados com tudo em um só lugar.”
“A visão do Jit”, acrescentou Melamed, em resumo, “é fornecer aos desenvolvedores acesso contextualmente relevante e just-in-time ao conhecimento e às ferramentas de que precisam para proteger os aplicativos que criam em toda a pilha de aplicativos, ao mesmo tempo em que aceleram o desenvolvimento processo.”
Também: Chainguard lança Wolfi, uma ‘distribuição’ do Linux
Bennetts poderia ter ido para outro lugar. Ele confidenciou: “Pensei em trabalhar com muitas empresas com produtos proprietários, mas meu coração pertence ao código aberto. Felizmente, encontrei no Jit uma equipe brilhante que está profundamente comprometida com o código aberto e em capacitar os desenvolvedores a criar aplicativos seguros”.
Quanto ao ZAP em si, Bennets disse que ele e o resto da equipe de desenvolvedores estão trabalhando duro no próximo lançamento. Incluirá uma pilha de rede mais rápida e aprimorada que pode funcionar com protocolos modernos, como HTTP/2. Seus spiders, que são usados para explorar aplicativos, também funcionarão melhor com mais programas da Web e incluem a capacidade de trabalhar com interfaces de programação de aplicativos (API). Esta próxima versão será lançada ainda este ano.
Histórias relacionadas:
.
