۷ راه اندازی امنیتی برنامه در RSAC 2024

برنامه‌های توسعه‌دهنده، زنجیره تامین نرم‌افزار، و ایمن‌سازی چرخه عمر توسعه نرم‌افزار، با پشتیبان‌گیری از VC انجام می‌شود.

• AppSentinels
• Endor Labs
• Lineaje
• امنیت Myrror
• امنیت Scribe
• Seal Security
• Tromzo

مرکز نوآوری RSAC 2024، نمایشگاه مراحل اولیه RSAC به طور خاص برای نمایش بازیگران نوظهور در صنعت امنیت اطلاعات طراحی شده است. در میان ۵۰ غرفه‌دار که در فضای غرفه طبقه دوم جمع شده‌اند، هفت شرکت‌کننده با پشتیبانی VC در امنیت برنامه‌ها و devsecops توجه ما را به خود جلب کردند.

AppSentinels

AppSentinels خود را به عنوان یک API جامع معرفی می کند. پلت فرم امنیتی، که کل چرخه عمر برنامه را پوشش می دهد. محصول تجزیه و تحلیل های کاملی از فعالیت های برنامه انجام می دهد و گردش های کاری آن را با جزئیات بررسی می کند. هنگامی که محصول AppSentinals جریان های کاری را درک کرد، می تواند جریان های کاری را در برابر انواع معایب احتمالی آزمایش کند و از این اطلاعات برای محافظت در برابر حملات منطق تجاری پیچیده در محیط های تولیدی نیز استفاده کند.

AppSentinels گفت که تیمش مدل های پیچیده ای را توسعه داده است که قادر به درک عملکرد هر یک از برنامه های کاربردی شرکت شما و همچنین گردش کار و فرآیندهای داخلی است تا محافظت از آنها را تقویت کند. AppSentinels با داشتن این درک از جریان های کاری فرآیند موفق، می تواند حملات احتمالی را خنثی کند. این محصول از چندین مدل هوش مصنوعی از جمله مدل‌های منطق گراف، مدل‌های خوشه‌بندی بدون نظارت و مدل‌های فضای حالت برای تقویت گردش کار و خود برنامه‌ها استفاده می‌کند.

Endor Labs

Endor Labs به عنوان یک زنجیره تامین نرم افزار عمل می کند شرکت امنیتی، با تمرکز اصلی بر افزایش بهره وری توسعه دهندگان. هدف این شرکت ساده‌سازی گردش کار توسعه‌دهنده، صرفه‌جویی در زمان و هزینه با اولویت‌بندی مؤثر هشدارها و آسیب‌پذیری‌ها است. برخلاف سایر ابزارهایی که توسعه‌دهندگان را با موارد مثبت کاذب غرق می‌کنند و منجر به خستگی می‌شوند، آزمایشگاه‌های اندور می‌کوشند تا راهنمایی‌های روشنی را در مورد مسائلی که ابتدا باید به آنها رسیدگی کنند ارائه کند و حل‌وفصل سریع را تسهیل کند.

Endor Labs تحلیل قابلیت دسترسی برای درک توابع فراخوانی شده توسط بسته ها و وابستگی های آنها، ردیابی کل مسیر تماس برای شناسایی وابستگی های خاص مورد استفاده توسط نسخه های مختلف بسته. علاوه بر این، آزمایشگاه‌های اندور ارزیابی می‌کند که آیا یک قطعه کد دارای آسیب‌پذیری به طور فعال در برنامه استفاده می‌شود یا نه، و اطلاعات دقیقی فراتر از آنچه که صرفاً در فایل مانیفست اعلام شده است ارائه می‌دهد.

در حالی که برخی از ابزارهای امنیتی بر آسیب‌پذیری‌های فهرست شده در فایل مانیفست تمرکز می‌کنند، Endor Labs با انجام تجزیه و تحلیل برنامه برای ایجاد نمودارهای تماس و شناسایی کدهای توسعه‌یافته استاتیک به عنوان منبع حقیقت با اولویت بندی وابستگی هایی که به طور فعال توسط برنامه مورد استفاده قرار می گیرد، Endor Labs قصد دارد ارزیابی دقیق تری از آسیب پذیری های موجود در کد توسعه یافته ارائه دهد.

علاوه بر تلقی همه مؤلفه‌ها به‌عنوان وابستگی، «Endor Labs» این رویکرد را به فرایندهای CI/CD گسترش می‌دهد و به ابزارهای مورد استفاده در خط لوله این به توسعه دهندگان کمک می کند تا ابزارهای تحریم شده و غیرمجاز را شناسایی کنند و از انطباق امنیتی بهتر اطمینان حاصل کنند. علاوه بر این، آزمایشگاه اندور وضعیت مخازن را در خط لوله CI/CD ارزیابی می‌کند و از امضای مصنوعات برای تأیید انطباق پشتیبانی می‌کند و اقدامات امنیتی را بیشتر می‌کند.

Lineaje

هدف

Lineaje ارائه زنجیره تامین نرم افزار جامع است. مدیریت امنیت، که توسط بنیانگذارانی با تخصص در توسعه نرم افزار نقطه پایانی و زمان اجرا هدایت می شود. ناشی از نگرانی در مورد حوادثی مانند هک SolarWinds و XZ Utils backdoor، Lineaje برای رفع آسیب‌پذیری‌ها در زنجیره‌های نرم‌افزار و ایجاد خطوط لوله، مناطقی که معمولاً برای نرم‌افزار زمان اجرا غیرقابل دسترس هستند، طراحی شده است.

پلتفرم یکپارچه Lineaje می‌تواند هر شی – اعم از کد منبع، بسته یا ظرف – را تجزیه کند تا ساختار مؤلفه یا درخت وابستگی آن را آشکار کند و آن را با استفاده از انواع مختلف مورد تجزیه و تحلیل قرار دهد. از اسکنرها، شامل هر دو منبع باز و انحصاری Lineaje. سپس این داده ها را جمع می کند و از یک ماژول هوش مصنوعی برای بررسی دقیق آن ها استفاده می کند. Lineaje نه تنها در خط لوله داخلی CI/CD عمل می‌کند، بلکه به مصرف اجزای منبع باز که از خطوط لوله CI/CD خارجی منبع می‌شوند نیز گسترش می‌یابد.

یک کشف هشداردهنده توسط Lineaje این است که تقریباً ۵۶ درصد از آسیب‌پذیری‌ها در اکوسیستم منبع باز بدون رسیدگی باقی می‌مانند. اغلب، توسعه دهندگان ناخواسته اجزای منبع باز منسوخ یا رها شده را به خطوط لوله خود وارد می کنند که منجر به مجموعه ای از آسیب پذیری ها می شود. عمق Lineaje در کشف وابستگی های فراتر از سطح بسته – کشف وابستگی های ضمنی – بسیار مهم است. این قابلیت Lineaje را قادر می سازد تا اسکن و تجزیه و تحلیل کامل اجزای منبع باز را انجام دهد.

برای هر مؤلفه شناسایی شده، Lineaje از تأیید مبتنی بر اثر انگشت برای ردیابی منشأ آن و تأیید صحت آن استفاده می کند، و اطمینان حاصل می کند که مؤلفه از یک مخزن منبع معتبر به یک تعهد خاص منشا می گیرد. شناسه. Lineaje کل دودمان را برای تشخیص دستکاری احتمالی بالادست بررسی می‌کند، سپس از گواهی مبتنی بر اثر انگشت برای نقشه‌برداری سطوح یکپارچگی نرم‌افزار، و سنجش خطرات دستکاری استفاده می‌کند.

این فرآیند دقیق یک SBOM (صورتحساب نرم‌افزاری مواد) و مخزن داده‌ای را ایجاد می‌کند که به راحتی از طریق قابلیت‌های جستجوی Lineaje قابل دسترسی است. پرس‌و‌جوها را می‌توان با کمک ماژول هوش مصنوعی Lineaje به خط‌مشی‌ها، اولویت‌بندی اقدامات تبدیل کرد، که به برنامه‌ریزی نسخه بعدی شرکت کمک می‌کند و در عین حال آسیب‌پذیری‌ها را کاهش می‌دهد.

امنیت Myrror

Myrror Security بر شناسایی حملات زنجیره تامین نرم افزار تمرکز دارد. این یک مقایسه کامل بین کد باینری و کد منبع متناظر آن انجام می‌دهد، با هدف شناسایی هرگونه مغایرت، زیرا در حالت ایده‌آل نباید هیچ کدام در نسخه باینری آماده برای استقرار تولید وجود داشته باشد. نمایندگان Myrror گفتند که این رویکرد می توانست از حوادثی مانند حملات SolarWinds و XZ Utils جلوگیری کند.

Myrror کد منبع را تجزیه و تحلیل می کند و آن را با نسخه باینری با استفاده از صورتحساب نرم افزاری از مواد تولید شده از منبع مقایسه می کند. این فرآیند به شناسایی آسیب‌پذیری‌ها در SBOM کمک می‌کند و امکان ارزیابی دسترس‌پذیری حمله و تهدیدات بالقوه برای پایگاه کد را فراهم می‌کند. در حالی که Myrror اهمیت تجزیه و تحلیل ترکیب نرم افزار (SCA) و SBOM را تشخیص می دهد، تمرکز اصلی آن بر شناسایی و جلوگیری از کدهای مخرب و حملات است.

امنیت Scribe

Scribe Security یک پلت فرم امنیتی زنجیره تامین نرم افزار را ارائه می دهد، استفاده از فناوری مبتنی بر گواهی (SBOM در هر مرحله از فرآیند توسعه) برای شناسایی و جلوگیری از دستکاری در حین ارائه شواهد امضا شده برای تضمین انطباق. Scribe که در کل چرخه عمر توسعه نرم افزار (SDLC) مستقر شده است، شواهد جامعی از تمام فعالیت های مرتبط با کد را ثبت می کند. سپس این اطلاعات در یک نمودار دانش ترکیب می شود و بینش هایی را در مورد محصول، خط لوله و پویایی فرآیند ارائه می دهد. مشتریان می توانند به طور موثر ریسک و اعتماد را با استفاده از تجزیه و تحلیل Scribe مدیریت کنند، که کاهش خودکار ریسک را در چارچوب SDLC امکان پذیر می کند.

Seal Security

Seal Security بر آسیب‌پذیری منبع باز تمرکز می‌کند وصله زدن با این حال، به‌جای اینکه توسعه‌دهندگان به دنبال به‌روزرسانی‌های نرم‌افزاری برای رفع آسیب‌پذیری‌ها باشند، Seal جدیدترین وصله‌های امنیتی را دریافت می‌کند و آن‌ها را با تمام نسخه‌های قبلی آسیب‌دیده کتابخانه سازگار می‌کند، و این وصله‌های مستقل را به‌راحتی در دسترس توسعه‌دهندگان قرار می‌دهد تا به عنوان بخشی از این آسیب‌پذیری‌ها مصرف کنند. فرآیند ساخت این فرآیند وصله‌سازی را برای توسعه‌دهندگان و تیم‌های امنیتی برنامه‌ها ساده می‌کند، زیرا مهندسان اکنون می‌توانند به طور خودکار آسیب‌پذیری‌ها را در طول فرآیند ساخت برطرف کنند. در نتیجه، زمان صرف شده برای هماهنگی بین این تیم ها به طور قابل توجهی کاهش می یابد.

ترومزو

Tromzo بر تسریع اصلاح، ادغام با اسکنرهای امنیتی تمرکز دارد ، اسکنرهای آسیب پذیری، پلتفرم های ابری و مخازن کد برای ارائه یک منبع حقیقت واحد برای همه آسیب پذیری هایی که ممکن است در شرکت خود داشته باشید. از آنجایی که Tromzo همه آن داده‌ها را جمع‌آوری و مرتبط می‌کند، آن‌ها همه دارایی‌های مختلف شما را می‌دانند – مخازن، وابستگی‌های نرم‌افزار، SBOM، کانتینرها، میکروسرویس‌ها و غیره – و مالک آنها می‌دانند. بنابراین، هنگامی که ترومزو به آسیب‌پذیری‌ها نگاه می‌کند، می‌تواند به استنباط اینکه کدامیک دارای ریسک بیشتری هستند (همراه با ورودی مشتری به ریسک، بر اساس اینکه آیا یک برنامه کاربردی برای کسب‌وکار حیاتی است یا به طور بالقوه دارای اطلاعات حساس یا شخصی است) کمک می‌کند. یک نمای ریسک از کل زنجیره تامین نرم افزار. از آنجا، Tromzo تریاژ را خودکار می کند تا ابتدا خطرناک ترین آسیب پذیری ها را برطرف کند.