Hoy queremos ponértelo fácil para que conozcas las nuevas mejoras que hemos incorporado en HESTIA, nuestra herramienta de análisis de código y cadena de suministro de software. Antes de entrar en detalles, te contamos rápidamente qué es HESTIA y, sobre todo, qué traen de nuevo estas actualizaciones que pueden ayudarte en tu día a día como desarrollador o responsable de seguridad.

Ejemplo de reporte de HESTIA.

HESTIA es una herramienta pensada para revisar la seguridad de tu proyecto en varias capas:

• SAST (Análisis de código estático) para encontrar vulnerabilidades en tu código fuente.
• SCA (Análisis de dependencias) para detectar librerías o componentes con fallos conocidos.
• Detección de secretos o credenciales mal protegidas.
• Análisis de IaC (Infrastructure as Code) para examinar configuraciones y contenedores.

Con todo esto, HESTIA busca que tengas un panorama completo de los posibles riesgos que afectan a tu aplicación, y así puedas centrarte en lo que de verdad importa: solucionar problemas de seguridad de forma ágil.

¿Qué hay de nuevo en HESTIA?

Likelihood Exploit: ¿qué probabilidad hay de que te ataquen?

Hemos añadido la métrica “Likelihood Exploit” al análisis de código. En pocas palabras, te indica la probabilidad de que una vulnerabilidad se pueda explotar en un entorno real. Imagina que has encontrado varios fallos en tu proyecto: ya no tienes que andar adivinando cuál solucionar antes. HESTIA te echa un cable poniendo en primer plano aquellas vulnerabilidades con mayor riesgo de ser utilizadas por atacantes.

• Ventaja principal: Te ayuda a priorizar soluciones y a distribuir mejor el tiempo y los recursos.

EPSS en SCA: datos históricos que marcan la diferencia

En el análisis de dependencias (SCA), ahora contamos con la métrica EPSS (Exploit Prediction Scoring System). Básicamente, EPSS se basa en una gran cantidad de datos históricos y patrones de ciberataques para estimar lo probable que es que una vulnerabilidad se explote.

Lo bueno de EPSS:

Te hace la vida más fácil para detectar qué librerías son más urgentes de parchear.

• Eleva la eficacia de tus esfuerzos de remediación al centrarse en los fallos que de verdad son peligrosos.

Chequeo en el catálogo KEV y alerta sobre ransomware

Una de las preguntas que más nos hacíais era si las vulnerabilidades detectadas están siendo explotadas en la vida real. Por eso, hemos integrado la consulta del catálogo KEV (Known Exploited Vulnerabilities), que lista las vulnerabilidades que se han usado en ataques confirmados. Además, ahora HESTIA comprueba si esas vulnerabilidades se han visto en campañas de ransomware.

• ¿Por qué es útil? Conoces de primera mano si el fallo está siendo aprovechado por ciberdelincuentes.

Code Snippet: encuentra el fallo de un vistazo

Sabemos que, a la hora de corregir, viene muy bien saber exactamente en qué línea del código se esconde la vulnerabilidad. Por eso, los informes de HESTIA ahora incluyen un code snippet. Te mostrará el fragmento de código donde aparece el problema, para que no pierdas tiempo buscando en diferentes ficheros.

Ventaja clara:

• Ahorra tiempo y evita confusiones.
• Mejora la comunicación entre desarrolladores y equipos de seguridad.

Nuevo diseño de informe: todo más ordenado

Hemos reorganizado la presentación de los resultados para que te resulte fácil “leer” el informe de un vistazo. Ahora cada vulnerabilidad se muestra en secciones separadas:

• Descripción de la vulnerabilidad: Qué es y qué impacto puede tener.
• Code snippet: El pedacito de código que necesita tu atención.
• Mitigación: Consejos concretos para poner fin al fallo.

Información adicional: Enlaces, referencias y cualquier detalle extra que aporte contexto.

¿Te animas a probar HESTIA Community gratis?

Visita el siguiente enlace y envía tu repositorio público. Y si buscas un plus de seguridad para tu empresa, pregúntanos por HESTIA Pro en info@ciberso.com. ¡Estaremos encantados de ayudarte a blindar tu desarrollo!

Prueba HESTIA gratis aquí