Checkmarx übernimmt Software-Supply-Chain-Security-Anbieter Dustico

Übernahme erschließt Checkmarx-Kunden den Zugang zu verhaltensbasierten Quellcode-Analysen für die Abwehr von Angriffen auf Open-Source-Supply-Chains

München – 5. August 2021 – Checkmarx (http://www.checkmarx.com/), einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat heute die Übernahme von Dustico (https://dusti.co/) bekannt gegeben, einer SaaS-basierten Lösung, die Schadcode und Hintertüren in Open-Source-Software-Supply-Chains erkennt. Im Zuge der Übernahme wird Checkmarx seine Application-Security-Testing-Lösungen mit der Verhaltensanalysetechnologie von Dustico kombinieren. Kunden erhalten damit einen ganzheitlichen Überblick über das Risiko, die Reputation und das Verhalten von Open-Source-Paketen und stellen so die Weichen für eine zuverlässige Abwehr von Supply-Chain-Angriffen.

Laut Gartner werden „bis 2025 45 Prozent aller Unternehmen weltweit Ziel eines Software-Supply-Chain-Angriffs sein, eine Verdreifachung gegenüber 2021.“(1) Dies unterstreicht einmal mehr, dass die Sicherheit dieser Netzwerke von zentraler Bedeutung ist. Attacken auf die Supply Chain sind häufig darauf zurückzuführen, dass Angreifer schwer zu erkennenden, manipulierten Code in Open-Source-Pakete einschleusen, die später in der Softwareentwicklung verwendet werden. Obwohl Open Source eine Vielzahl von Vorteilen bietet, müssen Entwickler die Reputation und Vertrauenswürdigkeit der Komponenten evaluieren und bei der Integration externer Code-Pakete in moderne Anwendungen einen Zero-Trust-Ansatz verfolgen.

Die Technologie von Dustico geht über herkömmliche Quellcode-Analysen hinaus und setzt auf einen dreistufigen Ansatz zur Bewertung des Verhaltens und der Reputation von Open-Source-Paketen: Zuerst untersucht die Lösung die Vertrauenswürdigkeit des Paket-Anbieters und der beteiligten Mitglieder der Open-Source-Community. Dann wird der Status der Pakete analysiert, um einen Überblick über deren Update-Prozesse und die Wartungsfrequenz zu erhalten. Und schließlich scannt die leistungsstarke Verhaltensanalyse-Engine von Dustico das Paket auf verborgenen Schadcode, einschließlich Hintertüren, Ransomware, mehrstufigen Angriffen und Trojanern.

Im Zusammenspiel mit den Ergebnissen der AST-Analysen von Checkmarx liefern diese Erkenntnisse Unternehmen und Entwicklern einen detaillierten, einheitlichen und effektiven Ansatz für das Management der mit Open Source verbundenen Risiken und der davon betroffenen Supply Chains.

„Wir freuen uns sehr, Dustico bei Checkmarx willkommen zu heißen – dieses junge Team zeigt, dass die israelische Hightech-Branche nach wie vor neue Maßstäbe im Bereich Cybersecurity und Innovation setzt“, so Emmanuel Benzaquen, CEO von Checkmarx. „Wenn wir die differenzierte Open-Source-Analyse von Dustico mit dem Best-of-Breed-Security-Testing von Checkmarx kombinieren, bietet dies unseren Kunden einen enormen Mehrwert – und hilft Ihnen, das Management und die Absicherung ihrer Software-Supply-Chains nachhaltig zu optimieren.“

„Angreifer fokussieren mehr denn je auf Software-Supply-Chains – von denen viele verstärkt auf Open Source basieren. Damit wächst die Gefahr, dass Pakete von Drittanbietern manipuliert sein könnten. Entwicklerteams sollten also proaktiv davon ausgehen, dass der gesamte Code, den sie beziehen, möglicherweise verändert wurde“, so Maty Siman, CTO von Checkmarx. „Mit Dustico bleiben wir unserer Mission treu, Open Source sicher zu machen, indem wir unseren Kunden helfen, Schwachstellen, Verhalten und Reputation mit einer einheitlichen Lösung zu analysieren. Entwickler und Security-Verantwortliche erhalten so die Informationen und das Selbstvertrauen, die sie brauchen, um sicherere Code-Pakete zu wählen und schneller sicherere Anwendungen zu entwickeln.“

Zu den Schlüsselfunktionen von Dustico gehören außerdem:

– Advanced Machine Learning und Threat Intelligence. Basierend auf hochentwickelten Machine-Learning-Modellen erkennt Dustico automatisch ungewöhnliches Verhalten in Code-Paketen, gleicht IOCs mit verschiedenen Threat Intelligence Feeds ab und ermöglicht eine zielgenaue Erkennung von Angreifer-Aktivitäten (TTPs).

– Vorabanalyse. Die Technologie von Dustico ist darauf ausgelegt, Pakete zur Analyse abzurufen, sobald sie online veröffentlicht werden, was Entwicklerteams Zeit spart und eine optimierte User-Experience garantiert.

– Developer-First-Ansatz. Da Dustico nativ in die Checkmarx-Plattform eingebettet ist, profitieren Entwickler von einer reibungslosen User-Experience durch direkte Integration in ihre CI- und Build-Systeme.

„Dies ist eine sehr aufregende Zeit für Dustico und unsere Community“, sagte Tzachi Zornstain, Mitbegründer und CEO von Dustico. „Wir haben Dustico gegründet, um Unternehmen bei der Bewältigung der explosionsartigen Zunahme von Supply-Chain- und Dependency-Angriffen zu unterstützen und ihr Vertrauen in Open-Source-Software zu stärken. Wir freuen uns sehr darauf, diese Vision als Teil von Checkmarx weiterzuverfolgen und unsere Kompetenzen einem globalen Kundenkreis zur Verfügung zu stellen.“

Erfahren Sie mehr zur Übernahme von Dustico durch Checkmarx in unserem Blog (https://checkmarx.com/resources/checkmarx-blog/stopping-malicious-actors-in-software-supply-chains).

(1) – Gartner, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Manjunath Bhat, Dale Gardner, Mark Horvath, 15. Juli 2021

Über Checkmarx
Checkmarx setzt im Application Security Testing immer neue Maßstäbe, um Security für Entwickler auf der ganzen Welt einfach und intuitiv zu halten und CISOs das notwendige Vertrauen und die richtigen Werkzeuge an die Hand zu geben. Als Marktführer im Bereich AppSec-Testing entwickeln wir bedienfreundliche Lösungen, die Developern und Security-Teams höchste Zuverlässigkeit, einen breiten Leistungsumfang, lückenlose Transparenz und handlungsrelevante Hinweise für die Behebung gefährlicher Schwachstellen in allen Komponenten moderner Software bieten – sowohl im eigenen Code als auch in Open Source, APIs und Infrastructure-as-Code. Mehr als 1.600 Kunden, darunter die Hälfte der Fortune 50, verlassen sich auf unsere Security-Technologie, unsere Security Research und unsere globalen Services, um sicher, schnell und skaliert zu entwickeln. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.

Firmenkontakt
Checkmarx Germany GmbH
Dr. Christopher Brennan
Theatinerstraße 11
80333 München
+49 (0)89 71042 2000
christopher.brennan@checkmarx.com

Checkmarx

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de

Agentur