Tenable Vulnerability Management for Web Apps

لذلك انتهى بي الأمر بالبحث في هذا الأمر بعد أن تعرض فريق التطوير لدينا لاختراق سيء من نقطة نهاية واجهة برمجة التطبيقات (API) غير المُصححة. كنا نتدافع، واقترح أحدهم إدارة الثغرات الأمنية القابلة للاستمرار لتطبيقات الويب. بصراحة، كنت متشككًا في البداية - هل هناك أداة أمنية أخرى؟ ولكن بعد إعداده، قام فعليًا بما وعد به: العثور على مشكلات حقيقية فاتناها.

الاشياء الجيدة

ما برز حقًا هو مدى سرعة التقاط الفاكهة المتدلية. على سبيل المثال، في غضون دقائق من توجيهه إلى موقع التشغيل لدينا، قام بوضع علامة على مكتبة قديمة ذات ثغرة معروفة. حتى أن التقرير أظهر معرف CVE وشرحًا قصيرًا - بدون مصطلحات، فقط "هذا أمر سيء". وكان تسجيل المخاطر منطقيًا. لم يقتصر الأمر على الصراخ "الحرج" في كل شيء؛ تم تحديد أولوياتها بناءً على مستوى التهديد الفعلي. لقد أنقذنا ذلك ساعات من الفرز.

كما أن التكامل مع خط أنابيب CI/CD الموجود لدينا كان أكثر سلاسة من المتوقع. لا يحتاج إلى وصول إداري كامل إلى خوادمك - فقط عنوان URL للفحص وبعض المصادقة الأساسية. ولوحة القيادة؟ نظيفة بما يكفي حتى يتمكن الأشخاص غير الأمنيين من إلقاء نظرة عليها ومعرفة ما يحدث. بالمقارنة مع شيء مثل Burp Suite، الذي يبدو وكأنه صندوق أدوات للخبراء، فهو أشبه بجولة إرشادية عبر نقاط الضعف لديك.

غير جيد

ولكن لنكن واقعيين - إنه ليس للجميع. إذا كنت مطورًا منفردًا أو تدير مدونة صغيرة، فهذا أمر ثقيل جدًا. إنه يعتمد على الاشتراك، مما يعني تكاليف مستمرة، ولا توجد طبقة مجانية. كما أن الواجهة ليست بديهية تمامًا للمبتدئين. اضطررت إلى البحث في المستندات فقط لمعرفة كيفية جدولة عمليات الفحص بشكل صحيح. ولا تتوقع دعمًا عبر الدردشة المباشرة، فكلها عبارة عن تذاكر عبر البريد الإلكتروني.

بالإضافة إلى ذلك، فهو يعمل فقط على تطبيقات الويب، لذلك إذا كنت تقوم بمسح الشبكات أو نقاط النهاية، فستحتاج إلى أدوات أخرى. ليس كسرًا للصفقات، لكن الأمر يستحق المعرفة مقدمًا. كما أنه لا يفعل أي شيء لسلوك المستخدم أو التحكم في الوصول - فقط عيوب على مستوى التعليمات البرمجية.

خلاصة القول

إذا كنت جزءًا من فريق يدير تطبيقات الويب وتريد طريقة موثوقة ومؤتمتة لاكتشاف الثغرات الأمنية قبل استغلالها، فإن إدارة الثغرات القابلة للاستمرار لتطبيقات الويب لتطبيقات الويب تستحق التكلفة. إنه ليس مبهرجًا، لكنه يقوم بعمله بدون دراما. قم بتخطيها إذا كنت قد بدأت للتو أو لم يكن لديك عملية أمنية مخصصة. ولكن إذا كنت مهتمًا بالفعل بـ DevSecOps، فهذه قطعة صلبة من اللغز.