Tag Software Composition Analysis

Im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) ermöglicht es die Lösung Entwicklern, Open-Source-Code sicher zu nutzen und die Weichen für eine moderne Anwendungsentwicklung zu stellen

MÜNCHEN – 28. März 2022 – Checkmarx (https://checkmarx.com/?utm_source=PR&utm_medium=PR&utm_search_query=&utm_campaign=MAD), einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, präsentiert mit Checkmarx Supply Chain Security eine neue Lösung, die zuverlässig verdächtige und potenziell gefährliche Open-Source-Pakete in modernen Entwicklungsumgebungen identifiziert.

Nach einer Prognose von Gartner (https://www.gartner.com/document/4009060)® [1] „werden bis 2025 60 Prozent der Unternehmen ihre Software-Delivery-Pipeline härten, um sich vor Supply-Chain-Security-Angriffen zu schützen.“

„Angreifer richten ihre Aufmerksamkeit heute immer öfter auf die Software-Supply-Chain. Dabei missbrauchen sie die Ökosysteme der Open-Source-Software, die bislang stets hohes Vertrauen in der weltweiten Entwickler-Community genossen“, erklärt Emmanuel Benzaquen, CEO von Checkmarx. „Checkmarx setzt bei der Identifizierung von Supply-Chain-Angriffen über Code-Pakete auf einen konsequent Entwickler-zentrierten Ansatz – und führt leistungsstarke Threat Intelligence, Verhaltensanalysen und Machine-Learning-Modelle in einer ganzheitlichen Lösungssuite zusammen.“

Security-Analysen und Thought Leadership im Bereich Supply Chain
In den vergangenen Monaten identifizierte das Security-Research-Team von Checkmarx hunderte gefährlicher Open-Source-Pakete. Die Berichte dieser Experten – die alle im Checkmarx-Blog (https://checkmarx.com/blog/?utm_source=SCS%20report&utm_medium=SCS%20report&utm_search_query=SCS%20trends%20report&utm_campaign=SCS) verfügbar sind – unterscheiden dabei drei wichtige Arten von Angriffen: Dependency Confusion (https://checkmarx.com/blog/webhook-party-malicious-packages-caught-exfiltrating-data-via-legit-webhook-services/?utm_source=PR&utm_medium=PR&utm_search_query=&utm_campaign=SCS), Typosquatting (https://checkmarx.com/blog/recently-discovered-supply-chain-worm/?utm_source=PR&utm_medium=PR&utm_search_query=&utm_campaign=SCS) und Chainjacking (https://checkmarx.com/blog/a-new-type-of-supply-chain-attack-could-put-popular-admin-tools-at-risk/?utm_source=PR&utm_medium=PR&utm_search_query=&utm_campaign=SCS). Darüber hinaus ist im Blog ein weiterer Beitrag erschienen, der drei zentrale Trends rund um potenziell gefährliche Open-Source-Pakete beschreibt.

Im Zusammenspiel mit Checkmarx Software Composition Analysis (https://checkmarx.com/product/cxsca-open-source-scanning/?utm_source=Press%20Release&utm_medium=&utm_search_query=SCS&utm_campaign=MAD) (SCA) überwacht Checkmarx Supply Chain Security den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien, analysiert die Reputation der beteiligten Open-Source-Entwickler und überprüft das Verhalten der Pakete, indem diese in einer isolierten Umgebung ausgeführt werden. Auf diese Weise erhalten die Unternehmen lückenlose Transparenz über die gesamte Software Supply Chain hinweg und vermeiden gefährliche blinde Flecken in der Application Security.

„Die heute auf dem Markt verfügbaren Lösungen sind reaktiv und verlassen sich ganz auf das Feedback der Community. Auf diese Weise können sie potenziell angreifbaren Code zwar identifizieren und analysieren – sie wissen aber nichts über den Entwickler, der hinter dem Code steht“, erklärt Tzachi Zorenstain, Head of Supply Chain Security bei Checkmarx. „Die Checkmarx Supply Chain Security basiert auf dem einfachen Prinzip, grundsätzlich keinen Code von Fremden zu übernehmen. Stattdessen können die Entwickler einfach auf unsere Reputationsdatenbank zugreifen und den Credit Score des jeweiligen Contributors verifizieren. So können Unternehmen von den Vorzügen agiler Entwicklungsumgebungen profitieren – und das Vertrauen ihrer Kunden dauerhaft gewinnen und behalten.“

Leistungsstarke Supply Chain Security für moderne Entwicklungsumgebungen
Die Checkmarx Supply Chain Security gibt Unternehmen ein breites Feature-Set an die Hand, um ihre Anwendungsentwicklung nachhaltig zu beschleunigen und Open-Source-Software sicher und optimal geschützt zu verwenden:

– Software Bill of Materials (SBOM) mit Fokus auf Health und Wellness: Stellt Hintergrund-Informationen zum Open-Source-Paket und zur Community bereit und generiert die SBOM.
– Erkennung gefährlicher Pakete: Identifiziert Dependency Confusion, Typosquatting, Chainjacking und andere gefährliche Aktivitäten und Pakete.
– Contributor-Reputation: Stellt das Vertrauen in Open-Source-Komponenten wieder her, da Unternehmen die Aktivitäten der Open-Source-Entwickler nicht mehr manuell über alle für sie relevanten Projekte hinweg überwachen müssen.
– Verhaltensanalysen: Integriert statische und dynamische Code-Analysen des Laufzeitverhaltens. Die Ausführung in einer isolierten Umgebung gestattet detaillierte Analysen der Code-Pakete und bietet zuverlässigen Schutz vor schwer identifizierbaren Bedrohungen.
– Durchgängige Verarbeitung der Ergebnisse: Liefert kontinuierliche Updates unserer Security-Research- und Threat-Hunting-Experten, um unseren Kunden jederzeit aktuelle Reputations- und Schwachstellendatenbanken bieten zu können.

Checkmarx Supply Chain Security ist ab sofort verfügbar. Mehr dazu erfahren Sie hier (https://checkmarx.com/supply-chain-security?utm_source=PR&utm_medium=PR&utm_search_query=Landing%20page&utm_campaign=SCS).

[1] Gartner, Predicts 2022: Modernizing Software Development is Key to Digital Transformation, von Manjunath Bhat, Mark Horvath et al., 3. December 2021. GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.

Über Checkmarx
Checkmarx setzt im Application Security Testing immer neue Maßstäbe, um Security für Entwickler auf der ganzen Welt einfach und intuitiv zu halten und CISOs das notwendige Vertrauen und die richtigen Werkzeuge an die Hand zu geben. Als Marktführer im Bereich AppSec-Testing entwickeln wir bedienfreundliche Lösungen, die Developern und Security-Teams höchste Zuverlässigkeit, einen breiten Leistungsumfang, lückenlose Transparenz und handlungsrelevante Hinweise für die Behebung gefährlicher Schwachstellen in allen Komponenten moderner Software bieten – sowohl im eigenen Code als auch in Open Source, APIs und Infrastructure-as-Code. Mehr als 1.600 Kunden, darunter die Hälfte der Fortune 50, verlassen sich auf unsere Security-Technologie, unsere Security Research und unsere globalen Services, um sicher, schnell und skaliert zu entwickeln. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.

Firmenkontakt
Checkmarx Germany GmbH
Dr. Christopher Brennan
Theatinerstraße 11
80333 München
+49 (0)89 71042 2000
christopher.brennan@checkmarx.com

Home

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de

Agentur

München – 20. August 2021 – Checkmarx (http://www.checkmarx.com/), einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, wurde als Strong Performer in „The Forrester Wave™: Software Composition Analysis, Q3 2021“ bewertet. Basierend auf Forresters Analyse der zehn wichtigsten SCA-Anbieter erzielte Checkmarx die höchstmögliche Punktzahl bei den Kriterien Marktansatz, Identifizierung von Open-Source-Schwachstellen, praxisnahe Schwachstellenbehebung, und IaC-Scanning. Diese Nennung schließt unmittelbar an die Wertung als Leader in „The Forrester Wave™: Static Application Security Testing, Q1 2021“ an.

Laut Forrester „stieg die Nutzung von Open Source explosionsartig an: Während im Jahr 2015 der durchschnittliche Open-Source-Anteil in auditierten Codebasen bei 36 Prozent lag, waren es 2020 bereits 75 Prozent. Unternehmen setzen sich und ihre Kunden jedoch einem erhöhten Risiko aus, indem sie sich auf externe Komponenten verlassen, wenn diese kritische Schwachstellen enthalten oder nicht den Unternehmensrichtlinien entsprechen. Zudem zeigen jüngste Ereignisse wie die Sicherheitslücke bei SolarWinds das Risiko schadhafter Libraries in Software und den Bedarf an größerer Transparenz in der Software Supply Chain.“ (1)

Mit Einführung von CxSCA (https://checkmarx.com/product/cxsca-open-source-scanning/) im Juni 2020 hob Checkmarx den Standard für Open Source Security auf eine neue Stufe. Aufsetzend auf die Ergebnisse auf Quellcode-Ebene der branchenführenden SAST-Lösung unterstützt CxSCA Security-Teams dabei, mühelos die größten Risiken – Schwachstellen in Open Source Software – zu identifizieren, und hilft Entwicklern, Sicherheitslücken fokussiert und priorisiert zu beheben. Checkmarx erweiterte mit der kürzlichen Akquisition (https://checkmarx.com/press-releases/checkmarx-acquires-software-supply-chain-security-provider-dustico/) von Dustico seine AST-Lösung um die Verhaltensanalysetechnologie von Dustico. Dies eröffnet den Entwicklerteams tiefere Einblicke in Open-Source- und Supply-Chain-Risiken, indem sie Open-Source-Pakete auf Vertrauenswürdigkeit, Status und schädliches Verhalten prüfen können.

„Die Unternehmen legen heutzutage den Fokus darauf, sich vor einer sich verändernden Bedrohungslandschaft zu schützen, während sie zugleich innovative Software erstellen und einzigartige digitale Erfahrungen anbieten. Unser Ziel ist es, die Unternehmen dabei zu unterstützen und ihnen zu ermöglichen, künftige Risiken zu bewältigen. Deshalb investieren wir in neue Funktionen,“ erklärt Emmanuel Benzaquen, CEO, Checkmarx. „Dass unsere Best-of-Breed-AST-Lösungen die Kunden dort abholen, wo auch immer sie sich auf ihrer DevSecOps-Reise befinden, findet Anklang. Und die Ergänzung der führenden Open-Source-Analysetechnologien von Dustico positioniert Checkmarx bestens für diese Mission, um Unternehmen zu helfen, sichere Anwendungen zu entwickeln.“

Neben CxSCA bietet Checkmarx statische und interaktive Codeanalysen (CxSAST und CxIAST), AppSec-Training für Entwickler (CxCodebashing), und IaC-Scanning (KICS). Zusammen bilden sie die branchenweit umfassendste AST-Plattform für Entwicklerteams, die damit über eine einzige Lösung Einblick in alle Software-Komponenten, einschließlich proprietärem Code, Open Source und IaC, erhalten und diese sichern können.

Ressourcen:
– Erfahren Sie hier (https://checkmarx.com/product/cxsca-open-source-scanning/) mehr über CxSCA.
– Downloaden Sie hier (https://checkmarx.com/resources/ebooks-2/checkmarx-sca-ultimate-guide) unser eBook „The Ultimate Guide to SCA“.

(1) – The Forrester Wave™: Software Composition Analysis, Q3 2021, Forrester Research, Inc., August 18, 2021

Über Checkmarx
Checkmarx setzt im Application Security Testing immer neue Maßstäbe, um Security für Entwickler auf der ganzen Welt einfach und intuitiv zu halten und CISOs das notwendige Vertrauen und die richtigen Werkzeuge an die Hand zu geben. Als Marktführer im Bereich AppSec-Testing entwickeln wir bedienfreundliche Lösungen, die Developern und Security-Teams höchste Zuverlässigkeit, einen breiten Leistungsumfang, lückenlose Transparenz und handlungsrelevante Hinweise für die Behebung gefährlicher Schwachstellen in allen Komponenten moderner Software bieten – sowohl im eigenen Code als auch in Open Source, APIs und Infrastructure-as-Code. Mehr als 1.600 Kunden, darunter die Hälfte der Fortune 50, verlassen sich auf unsere Security-Technologie, unsere Security Research und unsere globalen Services, um sicher, schnell und skaliert zu entwickeln. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.

Firmenkontakt
Checkmarx Germany GmbH
Dr. Christopher Brennan
Theatinerstraße 11
80333 München
+49 (0)89 71042 2000
christopher.brennan@checkmarx.com

Home

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de

Agentur