Checkmarx，以開(kāi)發(fā)人員為中心的應(yīng)用安全測(cè)試 (AST) 解決方案的全球領(lǐng)導(dǎo)者，今天宣布推出 Checkmarx 供應(yīng)鏈安全 解決方案，以識(shí)別現(xiàn)代應(yīng)用程序開(kāi)發(fā)生命周期中的可疑和潛在惡意開(kāi)源包。

據(jù) Gartner?[i] 稱，"到 2025 年，60% 的組織將加強(qiáng)其軟件交付管道，以防止供應(yīng)鏈安全攻擊。"

Checkmarx 首席執(zhí)行官 Emmanuel Benzaquen 表示："攻擊者正在通過(guò)濫用開(kāi)源軟件生態(tài)系統(tǒng)將注意力轉(zhuǎn)移到軟件供應(yīng)鏈上，而開(kāi)源軟件生態(tài)系統(tǒng)傳統(tǒng)上受到全球開(kāi)發(fā)者社區(qū)的信任。" "Checkmarx 正在采用一種開(kāi)發(fā)人員優(yōu)先的方法來(lái)檢測(cè)代碼包中的供應(yīng)鏈攻擊，利用一整套威脅情報(bào)、行為情報(bào)和機(jī)器學(xué)習(xí)模型。"

供應(yīng)鏈安全研究與思想領(lǐng)導(dǎo)力
在過(guò)去的幾個(gè)月里，Checkmarx 安全研究團(tuán)隊(duì)已經(jīng)識(shí)別出數(shù)百個(gè)惡意開(kāi)源包。Checkmarx 博客中提供了強(qiáng)調(diào)三種主要類型的研究文章—— 依賴混淆, 域名仿冒 和 鏈劫。 此處 提供了一份強(qiáng)調(diào)惡意開(kāi)源軟件包的三個(gè)新興趨勢(shì)的附加報(bào)告。

Checkmarx 供應(yīng)鏈安全與 Checkmarx 軟件組合分析 (SCA) 合作，識(shí)別開(kāi)源項(xiàng)目的健康和安全異常，分析貢獻(xiàn)者的聲譽(yù)，并通過(guò)引爆室內(nèi)的分析直接審查軟件包的行為。 結(jié)果是全方位的軟件供應(yīng)鏈洞察和分析，彌合了組織應(yīng)用程序安全性方面的重大缺口。

Checkmarx 供應(yīng)鏈安全負(fù)責(zé)人 Tzachi Zorenstain 表示："目前市場(chǎng)上的解決方案是被動(dòng)的，它們依賴于社區(qū)反饋來(lái)檢測(cè)易受攻擊的代碼并分析代碼，而不是其背后的人。" "Checkmarx供應(yīng)鏈安全解決方案建立在‘不要從陌生人那里獲取代碼'的原則之上，而是參考我們的聲譽(yù)數(shù)據(jù)庫(kù)，它就像代碼貢獻(xiàn)者的信用評(píng)分系統(tǒng)。我們的目標(biāo)是支持企業(yè)快速應(yīng)用發(fā)展，同時(shí)保持客戶的信任。"

現(xiàn)代應(yīng)用程序開(kāi)發(fā)的全面供應(yīng)鏈安全
Checkmarx 供應(yīng)鏈安全使組織能夠通過(guò)一整套關(guān)鍵功能安全可靠地使用開(kāi)源軟件加速現(xiàn)代應(yīng)用程序開(kāi)發(fā)：

• 軟件包健康狀況及物料清單 (SBOM)：提供開(kāi)源軟件包和社區(qū)的知識(shí)，并結(jié)合 SBOM 創(chuàng)建。

• 惡意包檢測(cè)：檢測(cè)依賴混淆、域名仿冒、鏈?zhǔn)浇俪趾推渌麗阂獾幕顒?dòng)和軟件包。

• 貢獻(xiàn)者聲譽(yù)：無(wú)需手動(dòng)分析所有項(xiàng)目中可能影響組織的貢獻(xiàn)者活動(dòng)，從而恢復(fù)對(duì)開(kāi)源包來(lái)源的信任。

• 行為分析：結(jié)合靜態(tài)和動(dòng)態(tài)分析來(lái)觀察代碼的運(yùn)行情況。 Checkmarx 供應(yīng)鏈安全引爆室提供對(duì)代碼包的深入分析并消除歧義以防御隱蔽威脅。

• 持續(xù)結(jié)果處理：提供 Checkmarx 安全研究和威脅搜尋的持續(xù)更新，維護(hù)聲譽(yù)和漏洞數(shù)據(jù)庫(kù)以供客戶使用。

[i]Gartner，預(yù)測(cè) 2022：現(xiàn)代化軟件開(kāi)發(fā)是數(shù)字化轉(zhuǎn)型的關(guān)鍵，作者 Manjunath Bhat、Mark Horvath 等人，2021 年 12 月 3 日。GARTNER 是Gartner, Inc. 和/或其在美國(guó)的關(guān)聯(lián)公司的注冊(cè)商標(biāo)和服務(wù)標(biāo)志，以及 國(guó)際上，并在此經(jīng)許可使用。 版權(quán)所有。