以开发人员为中心的应用安全测试 (AST) 解决方案的全球领导者Checkmarx, 于2022年3月22日宣布推出 Checkmarx 供应链安全(SCS)解决方案,以识别现代应用程序开发生命周期中的可疑和潜在恶意开源包。
据Gartner称,"到 2025年,60% 的组织将加强其软件交付流水线,以防止供应链安全攻击。"
Checkmarx 首席执行官 Emmanuel Benzaquen 表示:
"攻击者正在通过滥用开源软件生态系统将他们的注意力转移到软件供应链上,而开源软件生态系统历来受到全球开发者社区的信任。
Checkmarx 正在利用一整套威胁情报、行为情报和机器学习模型,为检测代码包中的供应链攻击带来一种优先开发人员的新方法。"
在过去的几个月里,Checkmarx 安全研究团队已经识别出数百个恶意开源包。Checkmarx的博客中提供了三种主要恶意包类型的研究文章—— 依赖混淆,域名仿冒和链路层劫持。
Checkmarx SCS在Checkmarx SCA帮助下,可以识别开源项目的健康和安全异常,分析贡献者的声誉,并通过引爆室内的分析来直接审查软件包的行为。Checkmarx SCS提供全方位的软件供应链洞察和分析,弥合了组织应用程序安全性方面的重大缺口。
Checkmarx SCS 负责人 Tzachi Zorenstain 认为:
"目前市场上的解决方案都是被动的,它们依赖于社区反馈来检测易受攻击的代码并分析代码,而不是审查其背后的攻击者。
Checkmarx SCS解决方案建立在‘不要从陌生人那里获取代码'的原则之上,并参考我们的声誉数据库,它就像代码贡献者的信用评分系统。我们的目标是支持那些进行快速应用发展的企业,同时保持其客户对其的信任。"
现代应用程序开发的全面供应链安全
Checkmarx SCS使组织能够通过一整套关键功能来安全可靠地使用开源软件并加速现代应用程序开发:
软件包健康状况及物料清单(SBOM):
提供开源软件包和社区的知识,并结合 SBOM 创建。
恶意包检测:
检测依赖混淆、域名仿冒、链路层劫持和其他恶意的活动和软件包。
贡献者声誉:
无需手动分析所有项目中可能影响组织的贡献者活动,从而恢复对开源包来源的信任。
行为分析:
结合静态和动态分析来观察代码的运行情况。Checkmarx SCS引爆室提供对代码包的深入分析并消除歧义以防御隐蔽威胁。
持续结果处理:
提供 Checkmarx 安全研究和威胁搜寻的持续更新,维护声誉和漏洞数据库以供客户使用。
关于并擎科技(Binqsoft)
上海并擎软件科技有限公司(简称“并擎科技”, )成立于2009年,是一家深耕于网络安全领域,提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海,在北京、广州和深圳设有分支机构,公司核心人员来自Microsoft、HP、Morgan Stanley等知名IT和金融企业,具有丰富的技术积淀和管理经验。
并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验,为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户,提供优质多元的解决方案和专业高效的技术服务。
并擎科技践行“用心服务、共铸安全”的服务理念,凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势,携手多家知名安全厂商,向众多用户提供优质的解决方案和专业的技术服务。