SAP hace Open Source su herramienta de análisis de vulnerabilidades para Java y Python

15/03/2019
Artículo original

SAP acaba de hacer Open Source y liberar por tanto el código de su herramienta de evaluación de vulnerabilidades de código VAT (Vulnerability Assesment Tool).

La herramienta sirve para analizar código de Java y de Python, y ha sido probada durante dos años internamente, realizando más de 20.000 análisis en unos 600 proyectos de la compañía.

Se centra en la detección de componentes Open Source que utilice tu proyecto y que sean vulnerables, y utiliza tanto análisis estático como testeo automatizado para determinar el contexto en el que se ejecuta el código y mejorar la precisión de los resultados. Así:

  • Detecta si hay dependencias de componentes de código abierto que tengan vulnerabilidades conocidas y además te informa de novedades de seguridad relacionadas con ellos.
  • Recaba evidencias sobre la ejecución del código vulnerable en diversos contextos de la aplicación
  • Da soporte a los desarrolladores para que puedan arreglar los problemas.

Trata de abordar todos los problemas especificados en el Top10 de OWASP A9, que suelen ser las causas de la mayor parte de las brechas de seguridad. Utiliza las bases de datos de vulnerabilidades  del gobierno estadounidense, y la lista CVE. Funciona tanto en desarrollo como en producción.

Según SAP, la mayor parte de los problemas de seguridad que se producen en las aplicaciones expuestas a Internet son causadas por no actualizar componentes que se sabe que son vulnerables. Muchas empresas tardan meses en hacerlo y otras no lo hacen nunca. Con VAT la idea es que puedas arreglarlas a las pocas horas o como mucho, días.

Se puede usar directamente como un contenedor Docker para ponerlo a funcionar de manera rápida y sencilla. Y por supuesto se puede descargar el código fuente y compilarlo.

Aquí te dejamos la página en Github del proyecto.