Checkmarx,以开发人员为中心的应用安全测试 (AST) 解决方案的全球领导者,今天宣布推出 Checkmarx 供应链安全 解决方案,以识别现代应用程序开发生命周期中的可疑和潜在恶意开源包。
据 Gartner®[i] 称,"到 2025 年,60% 的组织将加强其软件交付管道,以防止供应链安全攻击。"
Checkmarx 首席执行官 Emmanuel Benzaquen 表示:"攻击者正在通过滥用开源软件生态系统将注意力转移到软件供应链上,而开源软件生态系统传统上受到全球开发者社区的信任。" "Checkmarx 正在采用一种开发人员优先的方法来检测代码包中的供应链攻击,利用一整套威胁情报、行为情报和机器学习模型。"
供应链安全研究与思想领导力
在过去的几个月里,Checkmarx 安全研究团队已经识别出数百个恶意开源包。Checkmarx 博客中提供了强调三种主要类型的研究文章—— 依赖混淆, 域名仿冒 和 链劫。 此处 提供了一份强调恶意开源软件包的三个新兴趋势的附加报告。
Checkmarx 供应链安全与 Checkmarx 软件组合分析 (SCA) 合作,识别开源项目的健康和安全异常,分析贡献者的声誉,并通过引爆室内的分析直接审查软件包的行为。 结果是全方位的软件供应链洞察和分析,弥合了组织应用程序安全性方面的重大缺口。
Checkmarx 供应链安全负责人 Tzachi Zorenstain 表示:"目前市场上的解决方案是被动的,它们依赖于社区反馈来检测易受攻击的代码并分析代码,而不是其背后的人。" "Checkmarx供应链安全解决方案建立在‘不要从陌生人那里获取代码'的原则之上,而是参考我们的声誉数据库,它就像代码贡献者的信用评分系统。我们的目标是支持企业快速应用发展,同时保持客户的信任。"
现代应用程序开发的全面供应链安全
Checkmarx 供应链安全使组织能够通过一整套关键功能安全可靠地使用开源软件加速现代应用程序开发:
- 软件包健康状况及物料清单 (SBOM):提供开源软件包和社区的知识,并结合 SBOM 创建。
- 恶意包检测:检测依赖混淆、域名仿冒、链式劫持和其他恶意的活动和软件包。
- 贡献者声誉:无需手动分析所有项目中可能影响组织的贡献者活动,从而恢复对开源包来源的信任。
- 行为分析:结合静态和动态分析来观察代码的运行情况。 Checkmarx 供应链安全引爆室提供对代码包的深入分析并消除歧义以防御隐蔽威胁。
- 持续结果处理:提供 Checkmarx 安全研究和威胁搜寻的持续更新,维护声誉和漏洞数据库以供客户使用。
[i]Gartner,预测 2022:现代化软件开发是数字化转型的关键,作者 Manjunath Bhat、Mark Horvath 等人,2021 年 12 月 3 日。GARTNER 是Gartner, Inc. 和/或其在美国的关联公司的注册商标和服务标志,以及 国际上,并在此经许可使用。 版权所有。