加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權(quán)保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

Checkmarx 推出業(yè)界最全面的供應(yīng)鏈安全解決方案,以幫助組織阻止以前無法檢測到的惡意開源軟件包

2022/03/31
470
閱讀需 4 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

Checkmarx,以開發(fā)人員為中心的應(yīng)用安全測試 (AST) 解決方案的全球領(lǐng)導者,今天宣布推出 Checkmarx 供應(yīng)鏈安全 解決方案,以識別現(xiàn)代應(yīng)用程序開發(fā)生命周期中的可疑和潛在惡意開源包。

據(jù) Gartner?[i] 稱,"到 2025 年,60% 的組織將加強其軟件交付管道,以防止供應(yīng)鏈安全攻擊。"

Checkmarx 首席執(zhí)行官 Emmanuel Benzaquen 表示:"攻擊者正在通過濫用開源軟件生態(tài)系統(tǒng)將注意力轉(zhuǎn)移到軟件供應(yīng)鏈上,而開源軟件生態(tài)系統(tǒng)傳統(tǒng)上受到全球開發(fā)者社區(qū)的信任。" "Checkmarx 正在采用一種開發(fā)人員優(yōu)先的方法來檢測代碼包中的供應(yīng)鏈攻擊,利用一整套威脅情報、行為情報和機器學習模型。"

供應(yīng)鏈安全研究與思想領(lǐng)導力
在過去的幾個月里,Checkmarx 安全研究團隊已經(jīng)識別出數(shù)百個惡意開源包。Checkmarx 博客中提供了強調(diào)三種主要類型的研究文章—— 依賴混淆, 域名仿冒 和 鏈劫。 此處 提供了一份強調(diào)惡意開源軟件包的三個新興趨勢的附加報告。

Checkmarx 供應(yīng)鏈安全與 Checkmarx 軟件組合分析 (SCA) 合作,識別開源項目的健康和安全異常,分析貢獻者的聲譽,并通過引爆室內(nèi)的分析直接審查軟件包的行為。 結(jié)果是全方位的軟件供應(yīng)鏈洞察和分析,彌合了組織應(yīng)用程序安全性方面的重大缺口。

Checkmarx 供應(yīng)鏈安全負責人 Tzachi Zorenstain 表示:"目前市場上的解決方案是被動的,它們依賴于社區(qū)反饋來檢測易受攻擊的代碼并分析代碼,而不是其背后的人。" "Checkmarx供應(yīng)鏈安全解決方案建立在‘不要從陌生人那里獲取代碼'的原則之上,而是參考我們的聲譽數(shù)據(jù)庫,它就像代碼貢獻者的信用評分系統(tǒng)。我們的目標是支持企業(yè)快速應(yīng)用發(fā)展,同時保持客戶的信任。"

現(xiàn)代應(yīng)用程序開發(fā)的全面供應(yīng)鏈安全
Checkmarx 供應(yīng)鏈安全使組織能夠通過一整套關(guān)鍵功能安全可靠地使用開源軟件加速現(xiàn)代應(yīng)用程序開發(fā):

  • 軟件包健康狀況及物料清單 (SBOM):提供開源軟件包和社區(qū)的知識,并結(jié)合 SBOM 創(chuàng)建。
  • 惡意包檢測:檢測依賴混淆、域名仿冒、鏈式劫持和其他惡意的活動和軟件包。
  • 貢獻者聲譽:無需手動分析所有項目中可能影響組織的貢獻者活動,從而恢復對開源包來源的信任。
  • 行為分析:結(jié)合靜態(tài)和動態(tài)分析來觀察代碼的運行情況。 Checkmarx 供應(yīng)鏈安全引爆室提供對代碼包的深入分析并消除歧義以防御隱蔽威脅。
  • 持續(xù)結(jié)果處理:提供 Checkmarx 安全研究和威脅搜尋的持續(xù)更新,維護聲譽和漏洞數(shù)據(jù)庫以供客戶使用。

[i]Gartner,預(yù)測 2022:現(xiàn)代化軟件開發(fā)數(shù)字化轉(zhuǎn)型的關(guān)鍵,作者 Manjunath Bhat、Mark Horvath 等人,2021 年 12 月 3 日。GARTNER 是Gartner, Inc. 和/或其在美國的關(guān)聯(lián)公司的注冊商標和服務(wù)標志,以及 國際上,并在此經(jīng)許可使用。 版權(quán)所有。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜