Tag Software Supply Chain Security

Neue Lösungen helfen Unternehmen angesichts zunehmend komplexer und risikoreicher Anwendungen und Entwicklungsprozesse, ihre Software-Supply-Chain besser zu schützen

FRANKFURT, 26. November 2024 – Ein Großteil der Entwicklerteams setzt auf Open-Source-Software und Agile Development. Vor diesem Hintergrund stellt Checkmarx (https://checkmarx.com/?utm_source=PR&utm_medium=referral&utm_campaign=sscs-secrets), der Marktführer im Bereich Cloud-native Application Security, mit Secrets Detection und Repository Health zur Minimierung des Anwendungsrisikos eine neue Generation von Software-Supply-Chain-Security-Lösungen vor.

Die Software-Supply-Chain-Lösungen sind Teil der einheitlichen Checkmarx One Enterprise-Application-Security-Plattform (https://checkmarx.com/product/application-security-platform/?utm_source=PR&utm_medium=referral&utm_campaign=sscs-secrets). Die neuen Lösungen Repository Health und Secrets Detection erweitern das Software-Supply-Chain-Security-Portfolio von Checkmarx, bestehend aus Software Composition Analysis (SCA), Malicious Package Protection, AI Security und Container Security. Gemeinsam schützen sie jeden kritischen Aspekt der Software-Supply-Chain und ermöglichen es Entwickler- und Sicherheitsteams, Risiken in jeder Phase des SDLC zu identifizieren und zu minimieren.

„Die Software-Supply-Chain wird zunehmend zum Ziel von Bedrohungsakteuren, die nach neuen Wegen suchen, Unternehmen zu kompromittieren“, so Kobi Tzruya, Chief Product Officer bei Checkmarx. „Sie ist von Natur aus komplex und eng verzahnt, mit einer Vielzahl von Elementen und potenziellen Angriffspunkten, die es zu schützen gilt. Checkmarx erweitert den Funktionsumfang von Checkmarx One, um Unternehmen dabei zu unterstützen, die Supply Chain Security zu optimieren, Risiken zu reduzieren und ihre Anwendungsentwicklung von einer einheitlichen Plattform aus umfassend zu schützen.“

Secrets Detection

Secrets sind ein natürliches Nebenprodukt der Anwendungsentwicklung. Entwickler „hartkodieren“ Credentials mitunter, um Iterationen während der Kodierung und des Testens zu vereinfachen, vergessen aber möglicherweise, sie zu entfernen, bevor die Anwendung produktiv geht. Mit der zunehmenden Verbreitung von Agile Development, Microservices und Cloud-Computing wird dieses Problem und das damit verbundene Risiko durch die stetig wachsende Anzahl an Services, an denen in der Entwicklungsphase zusammengearbeitet werden muss, nur noch verschärft.

Checkmarx Secrets Detection minimiert das Risiko, indem die Lösung unbeabsichtigt im Code offengelegte sensible Credentials identifiziert und es Entwickler- und Sicherheitsteams ermöglicht, entdeckte Secrets zu entfernen. Als Teil der Checkmarx One Plattform identifiziert Secrets Detection präzise mehr als 170 verschiedene Arten von Secrets – darunter API-Schlüssel, Zertifikate, offengelegte Credentials, Verschlüsselungsschlüssel, Token, private URLs und andere sensible Daten.

Repository Health

Repository Health hilft Teams, die Security Posture ihrer Software-Supply-Chain zu optimieren, indem die Lösung kontinuierlich Health-Scores aller Software-Repositories in der Anwendungslandschaft trackt. Das Scoring basiert auf mehr als einem Dutzend Parametern aus Bereichen wie Code-Qualität, Dependency-Management, Continuous Integration/Continuous Delivery (CI/CD) Best Practices und Project Maintenance.

Checkmarx One bietet 13 neue automatisierte Kontrollen, die kritische Bereiche wie binäre Artefakte, Code-Reviews, Continuous Integration Packaging und Best Practices abdecken und es Entwicklern und Sicherheitsverantwortlichen ermöglichen, eine robuste Repository-Sicherheit zu gewährleisten. Diese Kontrollen reichen von der Suche nach binären Artefakten im Code bis hin zur Sicherstellung, dass Secure Development Best Practices – etwa die Überprüfung, ob der Code-Review wirklich abgeschlossen wurde, oder Fuzzing – befolgt werden, und automatisierten Continuous-Integration-Checks.

Weitere Informationen zu Checkmarx Secrets Detection und Repository Health finden interessierte Leserinnen und Leser hier (https://checkmarx.com/blog/checkmarx-advances-software-supply-chain-security/?utm_source=PR&utm_medium=referral&utm_campaign=sscs-secrets).

Über Checkmarx
Checkmarx ist Marktführer im Bereich Application Security und ermöglicht es Unternehmen weltweit, ihre Anwendungsentwicklung vom Code bis zur Cloud abzusichern. Die einheitliche Checkmarx One Plattform und die Services des Unternehmens verbessern die Sicherheit, senken die Gesamtbetriebskosten und stärken gleichzeitig das Vertrauen zwischen AppSec, Entwicklern und CISOs. Checkmarx ist überzeugt, dass es nicht nur gilt, Risiken zu identifizieren, sondern diese auch über die gesamte Anwendungslandschaft und Software-Supply-Chain hinweg zu beheben – mit einem durchgängigen Prozess, der alle relevanten Stakeholder einbezieht. Das Unternehmen betreut mehr als 1.800 Kunden und 40 Prozent der Fortune 100.

Folgen Sie Checkmarx auf LinkedIn, YouTube und X.

Firmenkontakt
Checkmarx Germany GmbH
Cynthia Siemens Willman
Theodor-Stern-Kai 1
60596 Frankfurt am Main
–

Home

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 81281-25

Agentur

Übernahme erschließt Checkmarx-Kunden den Zugang zu verhaltensbasierten Quellcode-Analysen für die Abwehr von Angriffen auf Open-Source-Supply-Chains

München – 5. August 2021 – Checkmarx (http://www.checkmarx.com/), einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat heute die Übernahme von Dustico (https://dusti.co/) bekannt gegeben, einer SaaS-basierten Lösung, die Schadcode und Hintertüren in Open-Source-Software-Supply-Chains erkennt. Im Zuge der Übernahme wird Checkmarx seine Application-Security-Testing-Lösungen mit der Verhaltensanalysetechnologie von Dustico kombinieren. Kunden erhalten damit einen ganzheitlichen Überblick über das Risiko, die Reputation und das Verhalten von Open-Source-Paketen und stellen so die Weichen für eine zuverlässige Abwehr von Supply-Chain-Angriffen.

Laut Gartner werden „bis 2025 45 Prozent aller Unternehmen weltweit Ziel eines Software-Supply-Chain-Angriffs sein, eine Verdreifachung gegenüber 2021.“(1) Dies unterstreicht einmal mehr, dass die Sicherheit dieser Netzwerke von zentraler Bedeutung ist. Attacken auf die Supply Chain sind häufig darauf zurückzuführen, dass Angreifer schwer zu erkennenden, manipulierten Code in Open-Source-Pakete einschleusen, die später in der Softwareentwicklung verwendet werden. Obwohl Open Source eine Vielzahl von Vorteilen bietet, müssen Entwickler die Reputation und Vertrauenswürdigkeit der Komponenten evaluieren und bei der Integration externer Code-Pakete in moderne Anwendungen einen Zero-Trust-Ansatz verfolgen.

Die Technologie von Dustico geht über herkömmliche Quellcode-Analysen hinaus und setzt auf einen dreistufigen Ansatz zur Bewertung des Verhaltens und der Reputation von Open-Source-Paketen: Zuerst untersucht die Lösung die Vertrauenswürdigkeit des Paket-Anbieters und der beteiligten Mitglieder der Open-Source-Community. Dann wird der Status der Pakete analysiert, um einen Überblick über deren Update-Prozesse und die Wartungsfrequenz zu erhalten. Und schließlich scannt die leistungsstarke Verhaltensanalyse-Engine von Dustico das Paket auf verborgenen Schadcode, einschließlich Hintertüren, Ransomware, mehrstufigen Angriffen und Trojanern.

Im Zusammenspiel mit den Ergebnissen der AST-Analysen von Checkmarx liefern diese Erkenntnisse Unternehmen und Entwicklern einen detaillierten, einheitlichen und effektiven Ansatz für das Management der mit Open Source verbundenen Risiken und der davon betroffenen Supply Chains.

„Wir freuen uns sehr, Dustico bei Checkmarx willkommen zu heißen – dieses junge Team zeigt, dass die israelische Hightech-Branche nach wie vor neue Maßstäbe im Bereich Cybersecurity und Innovation setzt“, so Emmanuel Benzaquen, CEO von Checkmarx. „Wenn wir die differenzierte Open-Source-Analyse von Dustico mit dem Best-of-Breed-Security-Testing von Checkmarx kombinieren, bietet dies unseren Kunden einen enormen Mehrwert – und hilft Ihnen, das Management und die Absicherung ihrer Software-Supply-Chains nachhaltig zu optimieren.“

„Angreifer fokussieren mehr denn je auf Software-Supply-Chains – von denen viele verstärkt auf Open Source basieren. Damit wächst die Gefahr, dass Pakete von Drittanbietern manipuliert sein könnten. Entwicklerteams sollten also proaktiv davon ausgehen, dass der gesamte Code, den sie beziehen, möglicherweise verändert wurde“, so Maty Siman, CTO von Checkmarx. „Mit Dustico bleiben wir unserer Mission treu, Open Source sicher zu machen, indem wir unseren Kunden helfen, Schwachstellen, Verhalten und Reputation mit einer einheitlichen Lösung zu analysieren. Entwickler und Security-Verantwortliche erhalten so die Informationen und das Selbstvertrauen, die sie brauchen, um sicherere Code-Pakete zu wählen und schneller sicherere Anwendungen zu entwickeln.“

Zu den Schlüsselfunktionen von Dustico gehören außerdem:

– Advanced Machine Learning und Threat Intelligence. Basierend auf hochentwickelten Machine-Learning-Modellen erkennt Dustico automatisch ungewöhnliches Verhalten in Code-Paketen, gleicht IOCs mit verschiedenen Threat Intelligence Feeds ab und ermöglicht eine zielgenaue Erkennung von Angreifer-Aktivitäten (TTPs).

– Vorabanalyse. Die Technologie von Dustico ist darauf ausgelegt, Pakete zur Analyse abzurufen, sobald sie online veröffentlicht werden, was Entwicklerteams Zeit spart und eine optimierte User-Experience garantiert.

– Developer-First-Ansatz. Da Dustico nativ in die Checkmarx-Plattform eingebettet ist, profitieren Entwickler von einer reibungslosen User-Experience durch direkte Integration in ihre CI- und Build-Systeme.

„Dies ist eine sehr aufregende Zeit für Dustico und unsere Community“, sagte Tzachi Zornstain, Mitbegründer und CEO von Dustico. „Wir haben Dustico gegründet, um Unternehmen bei der Bewältigung der explosionsartigen Zunahme von Supply-Chain- und Dependency-Angriffen zu unterstützen und ihr Vertrauen in Open-Source-Software zu stärken. Wir freuen uns sehr darauf, diese Vision als Teil von Checkmarx weiterzuverfolgen und unsere Kompetenzen einem globalen Kundenkreis zur Verfügung zu stellen.“

Erfahren Sie mehr zur Übernahme von Dustico durch Checkmarx in unserem Blog (https://checkmarx.com/resources/checkmarx-blog/stopping-malicious-actors-in-software-supply-chains).

(1) – Gartner, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Manjunath Bhat, Dale Gardner, Mark Horvath, 15. Juli 2021

Über Checkmarx
Checkmarx setzt im Application Security Testing immer neue Maßstäbe, um Security für Entwickler auf der ganzen Welt einfach und intuitiv zu halten und CISOs das notwendige Vertrauen und die richtigen Werkzeuge an die Hand zu geben. Als Marktführer im Bereich AppSec-Testing entwickeln wir bedienfreundliche Lösungen, die Developern und Security-Teams höchste Zuverlässigkeit, einen breiten Leistungsumfang, lückenlose Transparenz und handlungsrelevante Hinweise für die Behebung gefährlicher Schwachstellen in allen Komponenten moderner Software bieten – sowohl im eigenen Code als auch in Open Source, APIs und Infrastructure-as-Code. Mehr als 1.600 Kunden, darunter die Hälfte der Fortune 50, verlassen sich auf unsere Security-Technologie, unsere Security Research und unsere globalen Services, um sicher, schnell und skaliert zu entwickeln. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.

Firmenkontakt
Checkmarx Germany GmbH
Dr. Christopher Brennan
Theatinerstraße 11
80333 München
+49 (0)89 71042 2000
christopher.brennan@checkmarx.com

Checkmarx

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de

Agentur