Análisis de Aplicaciones Kiuwan

Kiuwan. Análisis de aplicaciones

Kiuwan es una plataforma para administrar la seguridad y la calidad de su código fuente. Esta solución híbrida permitirá al cliente medir y corregir problemas de seguridad y calidad a lo largo de todas las aplicaciones de software en el ciclo de vida.

Funcionalidades generales

Kiuwan se compone de tres productos principales:

  • Seguridad de código: este es el producto SAST para hacer análisis de código estático e informar sobre vulnerabilidades de la aplicación.
  • Insights: este es el producto SCA que creará un informe sobre los riesgos que pueden derivarse del uso de bibliotecas de terceros (como OpenSource).
  • Calidad del código: este producto analiza el código de forma estática y proporciona un conjunto de métricas relacionadas con la calidad del software.

Además de esos productos, Kiuwan también tiene dos módulos adicionales que se pueden agregar:

  • Ciclo de vida: este módulo es el diseñado para la integración con sistemas CI / CD.
  • Gobierno: este módulo proporciona Business Intelligence sobre su cartera de aplicaciones mediante el uso de múltiples paneles.

Kiuwan también proporciona soporte para diferentes aplicaciones de terceros mediante el uso de complementos o puntos fáciles de integración.

Para los desarrolladores, Kiuwan proporciona un conjunto de complementos llamados «Kiuwan for Developers» que permiten integrarse en diferentes IDE. Tales IDEs incluyen Eclipse, Visual Studio, Visual Studio Code y un grupo de la compañía «IntelliJ».

Versiones específicas y soporte:  https://www.kiuwan.com/docs/display/K5/Kiuwan+for+Developers

Al integrarse con el entorno de Integración continua o Desarrollo continuo para admitir la entrega continua de software, Kiuwan puede integrarse con una gran cantidad de proveedores. Esta integración se puede establecer a través de complementos nativos o mediante otros mecanismos.

Documentación detallada:  https://www.kiuwan.com/docs/display/K5/Developers+-+Integrations

Insights (SCA)

Kiuwan Insights es el producto de Análisis de composición de software (SCA). Proporciona la capacidad de escanear ciertas partes de la aplicación en la cartera y analizar los riesgos de los componentes de terceros que se llevan a cabo simplemente usando esos componentes.

Cuando un usuario analiza y aplica, Kiuwan Insights crea un inventario de componentes de terceros detectados y evalúa los riesgos en tres dimensiones diferentes: Seguridad, Licencia y Obsolescencia.

Teniendo esos riesgos a la mano, tendrá una nueva herramienta para crear un plan de mitigación para esos riesgos y una nueva fuente o información valiosa para seguir cumpliendo. Los riesgos de seguridad del componente utilizado se evalúan frente a bases de datos de vulnerabilidades bien conocidas, como la Base de datos de vulnerabilidad nacional NIST, y proporcionan al usuario la puntuación CVSS para cualquier vulnerabilidad encontrada en cualquiera de los componentes utilizados:

Análisis de aplicacoines Kiuwan
Lista de información sobre riesgos de seguridad


Encontrará información sobre todos los diferentes tipos de licencias que se encuentran en el componente. Si bien un tipo determinado de licencia no es un riesgo de seguridad en sí mismo, puede ser un riesgo de responsabilidad debido a las implicaciones legales de la misma.

Kiuwan Insights proporciona la evaluación de riesgos para cada licencia descubierta.

Información sobre riesgos de licencia
Lista de información sobre riesgos de licencia


La información sobre el riesgo de obsolescencia puede dar una pista de la salud real de todos los componentes de terceros.

Kiuwan informará sobre la antigüedad de los componentes descubiertos, por lo que se puede realizar una evaluación de riesgos con respecto a la actualización de cualquier componente dado. Un componente que no se está actualizando recientemente puede significar que el componente está muerto y que la comunidad ya no lo actualizará.

Perspectiva sobre riesgos de obsolescencia
Perspectivas de riesgos de obsolescencia


Idiomas y tecnologías compatibles

Los productos analizadores de código estático de Kiuwan (seguridad de código y calidad de código) brindan soporte para más de 30 lenguajes de programación.

Lista completa de idiomas admitidos: https://www.kiuwan.com/docs/display/K5/Kiuwan+Supported+Technologies

Tecnologías especificadas y sistemas de compilación admitidos por Kiuwan Insights (producto SCA):https://www.kiuwan.com/docs/display/K5/Kiuwan+Insights

Ciclo vital

Con Kiuwan Life Cycle, además de tener el control de una aplicación, tendrá control sobre todas las «Solicitudes de cambio» (CR) de esa aplicación que el equipo de desarrollo está creando y publicando. De ese modo, se obtiene una gran visibilidad y control (desde un punto de vista de seguridad y / o calidad).

Toda esa información se almacena y se puede usar desde el módulo Kiuwan Life Cycle. Este módulo permite gestionar todas esas entregas en 3 niveles diferentes: información de solicitud de cambio, información de entrega y aplicación.

kiuwan ciclo vital
Entregas del ciclo de vida


Gobernancia

Kiuwan Governance es un módulo opcional que proporciona un conjunto completo de herramientas para administrar la cartera de aplicaciones. Este módulo tiene una vista ejecutiva de toda la cartera con varias ideas diferentes al respecto.

La gobernanza de Kiuwan la hace única, ya que permite:

  • Tomar decisiones sobre todo el portafolio de aplicaciones.
  • Compara y observa su evolución.
  • Explorar los mejores escenarios para resolver problemas.

Algunas capacidades del gobierno de Kiuwan:

  • Aplicación agregada en carteras definidas por el usuario.
  • Perspectivas e información para cada una de las carteras.
  • Soporte multiusuario.
  • Cuadrantes de decisión e información de referencia cruzada.
Resumen de Gobernanza Kiuwan
Resumen de Gobernanza


Kiuwan para desarrolladores

Kiuwan for Developers es un complemento opcional que permitirá a los desarrolladores acceder a la información sobre vulnerabilidades y / o defectos en sus aplicaciones.

Este complemento está disponible en los IDE más utilizados en el mercado: relacionados con Eclipse, Visual Studio, Visual Studio Code e IDEs de la compañía JetBrains (como IntelliJ).

El complemento IDE necesita conexión al servidor Kiuwan para poder verificar la licencia y descargar los resultados a la vista local.

Kiuwan para desarrolladores en Eclipse
Kiuwan para desarrolladores en Eclipse


Al usar este complemento, cualquier desarrollador con acceso a los resultados puede ver información sobre vulnerabilidades y defectos dentro del código fuente sin abandonar el IDE, por lo que obtienen información muy valiosa y precisa sobre los problemas que puede tener su código.

El complemento permite la selección del alcance deseado, por lo que un desarrollador puede ver los resultados para un análisis completo, mientras que otros desarrolladores podrían estar más interesados ​​en una situación del Plan de Acción, por ejemplo.

Kiuwan para desarrolladores en Visual Studio Code
Kiuwan para desarrolladores en Visual Studio Code
Kiuwan para desarrolladores en IntelliJ
Kiuwan para desarrolladores en IntelliJ


Integración avanzada: API de Kiuwan

Kiuwan proporciona una API REST completa que permitirá automatizar muchos procesos e integrar información de Seguridad / Calidad dentro de sus operaciones de una manera fluida.

Documentación para la API:  https://static.kiuwan.com/rest-api/kiuwan-rest-api.html

Los puntos finales generales disponibles para trabajar con la API son (en orden alfabético):

  • Plan de ACCION
  • Informes del plan de acción
  • Análisis
  • Analiza informes
  • Solicitud
  • Auditoría
  • Defectos
  • Entrega
  • Documentación (reglas)
  • Estadísticas globales
  • Información (usuario)
  • Percepciones
  • Idiomas
  • Gestión de modelo
  • portafolio
  • Seguridad
  • Usuario
  • Grupo de usuario

Reglas personalizadas

Kiuwan viene con un conjunto completo de reglas en un modelo predeterminado de reglas, que cubre las reglas más importantes para todas las tecnologías compatibles.

Sin embargo, cualquier usuario de la plataforma con los permisos correctos puede:

  • Crear modelos personalizados con cualquiera de las reglas disponibles en el sistema.
  • Personalizar cualquiera de las múltiples reglas personalizables disponibles.
  • Cambiar las métricas e indicadores en el modelo, para mejorar aún más los resultados para algunas necesidades.
  • Desarrollar  nuevas reglas si es necesario.

Kiuwan ofrece una herramienta de desarrollo que permite desarrollar e incluir nuevas reglas en sus bibliotecas personalizadas.

Desarrollador de reglas Kiuwan
Desarrollador de reglas Kiuwan


Las nuevas reglas se definen con la ayuda de Kiuwan Rule Developer (ver imagen de arriba) y se desarrollan utilizando una API de Java.

Esta funcionalidad está incluida en el producto de forma gratuita. La documentación completa para desarrollar reglas:   https://www.kiuwan.com/docs/display/K5/Rule+development