Corgea: una plataforma de seguridad basada en inteligencia artificial que corrige automáticamente las vulnerabilidades del código

Introducción general

Corgea es una plataforma de seguridad del código basada en inteligencia artificial cuyo objetivo es ayudar a los desarrolladores y a los equipos de seguridad a descubrir, analizar y corregir automáticamente las vulnerabilidades de su código. Para ello, trabaja con herramientas existentes de pruebas estáticas de seguridad de aplicaciones (SAST) como Snyk Corgea es compatible con varios lenguajes de programación, como Java, Python y Go, entre otros, y cubre problemas complejos como errores de lógica empresarial, vulnerabilidades de autenticación, etc. Puede reducir los falsos positivos en aproximadamente 30% y reducir significativamente el coste y el tiempo de corrección. Reduce los falsos positivos en unos 30%, reduce significativamente los costes y el tiempo de reparación y ahorra una media de 80% en esfuerzo de desarrollo. La plataforma es fácil de manejar y puede integrarse rápidamente a través de aplicaciones de GitHub, lo que la hace adecuada para equipos que persiguen un desarrollo eficiente y seguro.

Lista de funciones

• exploración de vulnerabilidadesDetecte errores de lógica empresarial, vulnerabilidades de autenticación, problemas de seguridad de la API y claves codificadas en el código.
• AI Auto RepairGenerar correcciones de alta calidad para las vulnerabilidades descubiertas y crear Pull Requests para que los desarrolladores las revisen.
• Filtrado de falsas alarmasReducción automática de aproximadamente 30% de falsos positivos mediante análisis de IA, lo que aumenta la eficacia del equipo de seguridad.
• Soporte multilingüeSoporte para Java, JavaScript, TypeScript, Go, Ruby, Python, C#, C, C++, PHP y otros lenguajes y sus frameworks.
• Integración con las herramientas SASTMejora los flujos de trabajo existentes conectándolos sin problemas a herramientas como Snyk, Semgrep, etc.
• Seguimiento de los ANSSeguridad de la información: Realice un seguimiento del progreso de la corrección de vulnerabilidades y notificaciones para garantizar que los problemas de seguridad se resuelven a tiempo.
• aplicación de la estrategiaReglas de bloqueo: impida que el código que no cumpla las normas se ponga en marcha para proteger su aplicación.

Utilizar la ayuda

Instalación e integración

Corgea ofrece una aplicación para GitHub que es fácil de instalar y lleva menos de 30 segundos. Aquí tienes los pasos detallados:

1. Visite el sitio web oficial: Abierto https://corgea.com/Haz clic en "Regístrate hoy gratis" para registrar tu cuenta.
2. Instalación de la aplicación GitHub::
   • Inicie sesión en GitHub y vaya a https://github.com/apps/corgea.
   • Haga clic en el botón "Instalar" y seleccione la organización o el repositorio que desea autorizar.
   • Confirmando los permisos, Corgea tendrá permiso para leer el código y crear pull requests.
3. repositorio de configuración::
   • En el panel de control de Corgea, seleccione los repositorios de GitHub que desea analizar.
   • Establezca la frecuencia de escaneado (por ejemplo, por envío o diariamente).
4. Conexión de la herramienta SAST(Opcional):
   • En la página de configuración de Corgea, añada la clave API para Snyk o Semgrep.
   • Corgea importará automáticamente los resultados del análisis de estas herramientas y generará recomendaciones de reparación.

Una vez instalado, Corgea analiza automáticamente el código y crea una solicitud de corrección en el repositorio de GitHub.

Funciones principales

1. Exploración de vulnerabilidades

La tecnología BLAST (Business Logic and Security Testing) de Corgea combina IA y análisis estático para escanear código en busca de vulnerabilidades complejas. Los usuarios no necesitan configurar reglas manualmente, Corgea se adapta dinámicamente al entorno del código. Procedimiento:

• Iniciar exploraciónSeleccione el repositorio de destino en el panel de control de Corgea y haga clic en "Escanear ahora".
• Ver resultadosUna vez finalizado el escaneado, el panel de control muestra una lista de vulnerabilidades, incluido el tipo de vulnerabilidad (por ejemplo, inyección SQL, path traversal), la ubicación y la gravedad.
• Exportar informePermite exportar los resultados del escaneado a PDF o CSV para compartirlos fácilmente en equipo.

2. Reparación automática de la IA

La función principal de Corgea es la generación de código de reparación y su integración en el proceso de desarrollo. Procesos operativos:

• Ver sugerencias de correcciónEn el panel, haga clic en Detalles de la vulnerabilidad para ver las recomendaciones de corrección de código generadas por la IA.
• Creación de un pull request::
  • Haz clic en "Generar Pull Request" para que Corgea cree automáticamente un pull request en tu repositorio de GitHub.
  • La solicitud de extracción contiene el código de corrección, una descripción de la vulnerabilidad y una descripción del cambio.
• Revisión del desarrolladorEl desarrollador revisa el código en GitHub y fusiona las correcciones una vez confirmadas.
• Correcciones de verificaciónCorgea vuelve a escanear el código para asegurarse de que se ha resuelto la vulnerabilidad.

3. Filtrado de falsas alarmas

Corgea utiliza la IA para analizar los resultados de los escaneos, marcando y filtrando automáticamente los falsos positivos. Método de funcionamiento:

• Comprobación de falsas alarmasEn la lista de vulnerabilidades, las entradas etiquetadas como "Falso positivo" han sido filtradas por la IA.
• ajuste manualLos usuarios pueden marcar manualmente los falsos positivos o confirmar las vulnerabilidades válidas, y Corgea aprende de los comentarios de los usuarios para optimizar los análisis posteriores.
• análisis estadísticoEl cuadro de mandos ofrece estadísticas sobre la tasa de falsas alarmas para ayudar a los equipos a evaluar la eficacia del escaneado.

4. Seguimiento de los acuerdos de nivel de servicio y aplicación de estrategias

Corgea proporciona herramientas de gestión de vulnerabilidades para garantizar que los esfuerzos de corrección van por buen camino:

• Establecer el SLAEstablezca un plazo de corrección en el cuadro de mandos para el tipo de vulnerabilidad (por ejemplo, 7 días para una vulnerabilidad de alto riesgo).
• Recibir notificaciónCorgea envía recordatorios por correo electrónico o Slack para notificar las próximas correcciones pendientes.
• Configuración de reglas de bloqueo::
  • Activa las Reglas de bloqueo en la página de Configuración para especificar los tipos de vulnerabilidades que no pueden activarse (por ejemplo, claves codificadas).
  • Corgea bloqueará las fusiones de código que contengan estas vulnerabilidades para garantizar el cumplimiento.

5. Soporte e integración multilingüe

Corgea es compatible con una amplia gama de lenguajes de programación y puede ser utilizado por los desarrolladores sin tener que ajustar la estructura del código. Integración con el funcionamiento de las herramientas SAST existentes:

• Importación de los resultados de la exploración: Cargue informes JSON de Snyk o Semgrep en Corgea.
• gestión unificadaCorgea agrega los informes de vulnerabilidad de todas las herramientas para proporcionar una visión unificada.
• Restauración automáticaPara las vulnerabilidades importadas, Corgea también genera código de corrección y crea pull requests.

Funciones destacadas

• Detección de vulnerabilidades en la lógica empresarialLa IA de Corgea comprende el contexto del código e identifica errores de lógica empresarial difíciles de detectar por las herramientas tradicionales. Por ejemplo, puede detectar lagunas lógicas en el proceso de pago para evitar posibles pérdidas financieras.
• Escaneado de claves codificadasCorgea escanea el código en busca de información sensible (por ejemplo, claves API, contraseñas) y sugiere migrarla a variables de entorno.
• Información en tiempo realCada vez que envías código, Corgea lo escanea automáticamente y proporciona información en tiempo real en GitHub, lo que acorta el ciclo de corrección.

advertencia

• gestión de derechosAsegúrese de que la aplicación GitHub está autorizada con permisos suficientes en el repositorio, de lo contrario no podrá crear una solicitud de extracción.
• requisitos de la redCorgea requiere una conexión estable a Internet para sincronizar los resultados de los análisis en tiempo real.
• Limitaciones de la versión gratuita: La versión gratuita admite 2 almacenes y 10 pull request scans al mes y es adecuada para que la prueben equipos pequeños.

De este modo, los usuarios pueden empezar a utilizar rápidamente Corgea y automatizar la gestión de la seguridad del código.

escenario de aplicación

1. Desarrollo rápido para nuevas empresas
   Los equipos de desarrollo pequeños con recursos limitados no pueden dedicar mucho tiempo a corregir vulnerabilidades de seguridad, por lo que Corgea automatiza el análisis y la corrección del código, reduciendo la carga de trabajo de seguridad y permitiendo a los equipos centrarse en el desarrollo de funciones. Por ejemplo, una empresa emergente de tecnología financiera utilizó Corgea para analizar un módulo de pago, solucionando rápidamente una vulnerabilidad de autenticación y garantizando la conformidad antes de que el producto saliera al mercado.
2. Cumplimiento del código a nivel empresarial
   Las grandes organizaciones necesitan cumplir normativas como GDPR e HIPAA, y las funciones de reglas de bloqueo y seguimiento de SLA de Corgea ayudan a los equipos de seguridad a hacer cumplir las normas de conformidad. Por ejemplo, una empresa de tecnología médica utiliza Corgea para detectar claves codificadas y garantizar la seguridad de los datos de los pacientes.
3. Mantenimiento de proyectos de código abierto
   Los proyectos de código abierto se enfrentan a menudo a vulnerabilidades de seguridad que pasan desapercibidas, y la integración de Corgea en GitHub facilita a los mantenedores el análisis y la corrección del código. Por ejemplo, un proyecto de framework web de código abierto utilizó Corgea para corregir una vulnerabilidad de inyección SQL, lo que aumentó la confianza de la comunidad.

CONTROL DE CALIDAD

1. ¿Qué lenguajes de programación admite Corgea?
   Corgea es compatible con Java, JavaScript, TypeScript, Go, Ruby, Python, C#, C, C++, PHP y sus frameworks, cubriendo la mayoría de los principales escenarios de desarrollo.
2. ¿Cómo puedo garantizar la seguridad de mi código de reparación?
   Los modelos de IA de Corgea se entrenan con una gran cantidad de código y parches de seguridad, generando correcciones que se someten a múltiples rondas de validación. Los desarrolladores deben revisar y probar las solicitudes de extracción para garantizar que el código cumple los requisitos del proyecto.
3. ¿Cuál es la diferencia entre la versión gratuita y la de pago?
   La versión gratuita admite 2 almacenes y 10 pull request scans al mes para individuos o equipos pequeños. Las versiones de pago (como el plan Growth) ofrecen repositorios y escaneos ilimitados para equipos más grandes.
4. ¿Interferirá Corgea con los flujos de trabajo existentes?
   Corgea se integra a través de GitHub, eliminando la necesidad de cambiar el proceso de desarrollo. Los equipos de seguridad pueden crear pull requests con un solo clic, y los desarrolladores revisan el código en el conocido entorno de GitHub.