Checkmarx,以開發(fā)人員為中心的應(yīng)用安全測試 (AST) 解決方案的全球領(lǐng)導(dǎo)者,今天宣布推出 Checkmarx 供應(yīng)鏈安全 解決方案,以識別現(xiàn)代應(yīng)用程序開發(fā)生命周期中的可疑和潛在惡意開源包。
據(jù) Gartner?[i] 稱,"到 2025 年,60% 的組織將加強(qiáng)其軟件交付管道,以防止供應(yīng)鏈安全攻擊。"
Checkmarx 首席執(zhí)行官 Emmanuel Benzaquen 表示:"攻擊者正在通過濫用開源軟件生態(tài)系統(tǒng)將注意力轉(zhuǎn)移到軟件供應(yīng)鏈上,而開源軟件生態(tài)系統(tǒng)傳統(tǒng)上受到全球開發(fā)者社區(qū)的信任。" "Checkmarx 正在采用一種開發(fā)人員優(yōu)先的方法來檢測代碼包中的供應(yīng)鏈攻擊,利用一整套威脅情報、行為情報和機(jī)器學(xué)習(xí)模型。"
供應(yīng)鏈安全研究與思想領(lǐng)導(dǎo)力
在過去的幾個月里,Checkmarx 安全研究團(tuán)隊(duì)已經(jīng)識別出數(shù)百個惡意開源包。Checkmarx 博客中提供了強(qiáng)調(diào)三種主要類型的研究文章—— 依賴混淆, 域名仿冒 和 鏈劫。 此處 提供了一份強(qiáng)調(diào)惡意開源軟件包的三個新興趨勢的附加報告。
Checkmarx 供應(yīng)鏈安全與 Checkmarx 軟件組合分析 (SCA) 合作,識別開源項(xiàng)目的健康和安全異常,分析貢獻(xiàn)者的聲譽(yù),并通過引爆室內(nèi)的分析直接審查軟件包的行為。 結(jié)果是全方位的軟件供應(yīng)鏈洞察和分析,彌合了組織應(yīng)用程序安全性方面的重大缺口。
Checkmarx 供應(yīng)鏈安全負(fù)責(zé)人 Tzachi Zorenstain 表示:"目前市場上的解決方案是被動的,它們依賴于社區(qū)反饋來檢測易受攻擊的代碼并分析代碼,而不是其背后的人。" "Checkmarx供應(yīng)鏈安全解決方案建立在‘不要從陌生人那里獲取代碼'的原則之上,而是參考我們的聲譽(yù)數(shù)據(jù)庫,它就像代碼貢獻(xiàn)者的信用評分系統(tǒng)。我們的目標(biāo)是支持企業(yè)快速應(yīng)用發(fā)展,同時保持客戶的信任。"
現(xiàn)代應(yīng)用程序開發(fā)的全面供應(yīng)鏈安全
Checkmarx 供應(yīng)鏈安全使組織能夠通過一整套關(guān)鍵功能安全可靠地使用開源軟件加速現(xiàn)代應(yīng)用程序開發(fā):
- 軟件包健康狀況及物料清單 (SBOM):提供開源軟件包和社區(qū)的知識,并結(jié)合 SBOM 創(chuàng)建。
- 惡意包檢測:檢測依賴混淆、域名仿冒、鏈?zhǔn)浇俪趾推渌麗阂獾幕顒雍蛙浖?/li>
- 貢獻(xiàn)者聲譽(yù):無需手動分析所有項(xiàng)目中可能影響組織的貢獻(xiàn)者活動,從而恢復(fù)對開源包來源的信任。
- 行為分析:結(jié)合靜態(tài)和動態(tài)分析來觀察代碼的運(yùn)行情況。 Checkmarx 供應(yīng)鏈安全引爆室提供對代碼包的深入分析并消除歧義以防御隱蔽威脅。
- 持續(xù)結(jié)果處理:提供 Checkmarx 安全研究和威脅搜尋的持續(xù)更新,維護(hù)聲譽(yù)和漏洞數(shù)據(jù)庫以供客戶使用。
[i]Gartner,預(yù)測 2022:現(xiàn)代化軟件開發(fā)是數(shù)字化轉(zhuǎn)型的關(guān)鍵,作者 Manjunath Bhat、Mark Horvath 等人,2021 年 12 月 3 日。GARTNER 是Gartner, Inc. 和/或其在美國的關(guān)聯(lián)公司的注冊商標(biāo)和服務(wù)標(biāo)志,以及 國際上,并在此經(jīng)許可使用。 版權(quán)所有。