En diciembre de 2021, una vulnerabilidad en una biblioteca de registro ampliamente utilizada que no había sido reparada desde 2013 provocó un colapso total de la seguridad.
La falla Log4Shell con una calificación de 10/10 en Log4j, un software de registro de código abierto que se encuentra prácticamente en todas partes, desde juegos en línea hasta software empresarial y centros de datos en la nube, cobró numerosas víctimas desde Adobe y Cloudflare hasta Twitter y Minecraft debido a su presencia omnipresente. Los expertos en seguridad lo describieron como una “falla de diseño de proporciones catastróficas” y demostraron las consecuencias potencialmente de gran alcance del envío de código incorrecto.
con sede en boston Mapa de aplicaciones, pasando por TechCrunch Disrupt Startup Battlefield esta semana, quiere evitar que este código malo llegue a producción. La herramienta de análisis de código de tiempo de ejecución dinámico de código abierto, que según la startup es la primera de su tipo, es una creación de Elizabeth Lawler, que sabe un par de cosas sobre seguridad. Antes de fundar AppMap, fundó la empresa emergente de seguridad DevOps Conjur, que fue adquirida por CyberArk en 2017, y se desempeñó como directora de datos de Generation Health, luego adquirida por CVS.
Después de convertir dos empresas en grandes empresas con una gran cantidad de software heredado, Lawler fue testigo de primera mano de cómo los desarrolladores luchaban por comprender los sistemas que debían mejorar y les resultaba difícil entregar un código rápido y seguro en microservicios complejos y aplicaciones en la nube.
“Me sorprende que las personas tengan un modelo mental de cómo funcionan las cosas que en realidad está desconectado de cómo funcionan realmente”, dice Lawler a TechCrunch. “Cuando no sabemos cómo funciona nuestro software, estamos haciendo las mejores conjeturas cuando escribimos el código”.
Créditos de imagen: Mapa de aplicaciones
Eso condujo a la creación de AppMap, que se basó en la idea simple de que los desarrolladores deberían poder ver el comportamiento del software a medida que lo escriben para que puedan evitar problemas cuando se ejecuta el software. A diferencia de las herramientas de análisis estático que no muestran información de tiempo de ejecución, AppMap, que se creó desde cero durante un período de tres años, se ejecuta dentro del editor de código para mostrar a los desarrolladores qué componentes se comunican con qué componentes, con qué rendimiento y latencia, a qué velocidad de la red y si hay algún error entre ellos, lo que permite a los desarrolladores obtener información útil y realizar mejoras más rápido que antes.
Todo esto se hace dentro de una extensión de editor de código interactivo, que AppMap diseñó con la ayuda de artistas de cómics y músicos para que sea lo más fácil de usar e intuitivo posible.
“Soy un científico de datos, así que sé lo abrumadores que pueden ser los datos”, dijo Lawler. “Google Maps nos ha mostrado con elegancia cómo se pueden personalizar y localizar los mapas, así que lo usamos como punto de partida para saber cómo queríamos abordar el problema de los grandes datos”.
Para coincidir con TechCrunch Disrupt, AppMap está lanzando tres nuevas funciones: la capacidad de compartir y colaborar con otros ingenieros; análisis de rendimiento que alerta a los desarrolladores cuando los cambios en el código afectarán el rendimiento y la escalabilidad; y análisis de seguridad que pueden identificar problemas de código de tiempo de ejecución de software dentro del editor de código de un desarrollador antes de que confirmen su código, ya sea filtrando datos y secretos de clientes en archivos de registro o autenticaciones o autorizaciones faltantes o incorrectas.
“Podemos ver los tipos de problemas que ahora son los 10 principales de OWASP en ascenso. Los problemas estáticos han disminuido en prevalencia porque tenemos buenos escáneres para ellos, pero para lo que no tenemos buenos escáneres son estos problemas dinámicos que están diseñados en naturaleza. Si observa el CWE Top 25, casi la mitad de estos son problemas de diseño de código”.
Como se basa en código abierto, lo cual es evidente a partir del enfoque comunitario de la startup para cambiar su producto y agregar nuevas funciones, AppMap es gratuito para que lo usen los desarrolladores. “No creemos que se le deba cobrar por la autoconciencia en la programación”, dijo Lawler. “Si vamos a integrarnos con su GitHub y tenemos que proporcionar algunas funciones de fondo o almacenamiento, entonces esos son servicios pagos”.
Créditos de imagen: Mapa de aplicaciones
AppMap, que es una startup de pre-ingresos respaldada por VC en etapa inicial, actualmente tiene más de 20,000 clientes, una cifra que crece un 20% cada mes, con desarrolladores de IBM, NASA, Sonos y Salesforce que utilizan su producto. También está aumentando su equipo, que está compuesto por empleados que han desarrollado programas en algún momento de su carrera y tienen una amplia experiencia en DevOps, automatización, ciberseguridad y desarrollo basado en pruebas. Kevin Gilpin, cofundador técnico de AppMap, describe lo más destacado de su carrera como la entrega de páginas de “construye tu vehículo en línea” para Ford.
Aunque solo se lanzó en 2021, la visión de la startup va mucho más allá de evitar que los desarrolladores envíen código incorrecto. “Dedicamos mucho tiempo y energía a instrumentar las cosas que están detrás de nuestra aplicación, pero nunca hemos instrumentado el proceso creativo. Realmente nunca hemos visto a la gente pensar, diseñar y crear de esta manera. Creo que al tener datos de observabilidad en ese momento, se abrirán muchas oportunidades. A medida que evoluciona AppMap, me gustaría pensar en cómo se vuelve aún más grande que el análisis de rendimiento y se convierte más en una tecnología de asistencia en ese ámbito”.
Source link