برنامههای توسعهدهنده، زنجیره تامین نرمافزار، و ایمنسازی چرخه عمر توسعه نرمافزار، با پشتیبانگیری از VC انجام میشود.
مرکز نوآوری RSAC 2024، نمایشگاه مراحل اولیه RSAC به طور خاص برای نمایش بازیگران نوظهور در صنعت امنیت اطلاعات طراحی شده است. در میان ۵۰ غرفهدار که در فضای غرفه طبقه دوم جمع شدهاند، هفت شرکت کننده با پشتیبانی VC در امنیت برنامه و devsecops توجه ما را به خود جلب کرد.
AppSentinels
AppSentinels خود را به عنوان یک API، کل چرخه عمر برنامه را پوشش می دهد. محصول تجزیه و تحلیل های کاملی از فعالیت های برنامه انجام می دهد و گردش های کاری آن را با جزئیات بررسی می کند. هنگامی که محصول AppSentinals جریان های کاری را درک کرد، می تواند جریان های کاری را در برابر انواع معایب احتمالی آزمایش کند و از این اطلاعات برای محافظت در برابر حملات منطق تجاری پیچیده در محیط های تولیدی نیز استفاده کند.
AppSentinels گفت که تیمش مدل های پیچیده ای را توسعه داده است که قادر به درک عملکرد هر یک از برنامه های کاربردی شرکت شما و همچنین گردش کار و فرآیندهای داخلی است تا محافظت از آنها را تقویت کند. AppSentinels با داشتن این درک از جریان های کاری فرآیند موفق، می تواند حملات احتمالی را خنثی کند. این محصول از چندین مدل هوش مصنوعی از جمله مدلهای منطق گراف، مدلهای خوشهبندی بدون نظارت و مدلهای فضای حالت برای تقویت گردش کار و خود برنامهها استفاده میکند.
Endor Labs
Endor Labs به عنوان یک زنجیره تامین نرم افزار عمل می کند شرکت امنیتی، با تمرکز اصلی بر افزایش بهره وری توسعه دهندگان. هدف این شرکت سادهسازی گردش کار توسعهدهنده، صرفهجویی در زمان و هزینه با اولویتبندی موثر هشدارها و آسیبپذیریها است. برخلاف سایر ابزارهایی که توسعهدهندگان را با موارد مثبت کاذب غرق میکنند و منجر به خستگی میشوند، آزمایشگاههای اندور میکوشند تا راهنماییهای روشنی را در مورد مسائلی که ابتدا باید به آنها رسیدگی کنند ارائه کند و حلوفصل سریع را تسهیل کند.
Endor Labs تحلیل قابلیت دسترسی برای درک توابع فراخوانی شده توسط بسته ها و وابستگی های آنها، ردیابی کل مسیر تماس برای شناسایی وابستگی های خاص مورد استفاده توسط نسخه های مختلف بسته. علاوه بر این، آزمایشگاههای اندور ارزیابی میکند که آیا یک قطعه کد دارای آسیبپذیری به طور فعال در برنامه استفاده میشود یا نه، و اطلاعات دقیقی فراتر از آنچه که صرفاً در فایل مانیفست اعلام شده است ارائه میدهد.
در حالی که برخی از ابزارهای امنیتی بر آسیبپذیریهای فهرست شده در فایل مانیفست تمرکز میکنند، Endor Labs با انجام تجزیه و تحلیل برنامه برای ایجاد نمودارهای تماس و شناسایی کدهای توسعهیافته استاتیک به عنوان منبع حقیقت با اولویت بندی وابستگی هایی که به طور فعال توسط برنامه مورد استفاده قرار می گیرد، Endor Labs قصد دارد ارزیابی دقیق تری از آسیب پذیری های موجود در کد توسعه یافته ارائه دهد.
علاوه بر این که همه مؤلفهها را به عنوان وابستگی در نظر میگیرد، «Endor Labs» این رویکرد را به فرایندهای CI/CD، قابلیت مشاهده را در ابزارهای مورد استفاده در خط لوله ارائه می دهد. این به توسعه دهندگان کمک می کند تا ابزارهای تحریم شده و غیرمجاز را شناسایی کنند و از انطباق امنیتی بهتر اطمینان حاصل کنند. علاوه بر این، آزمایشگاه اندور وضعیت مخازن را در خط لوله CI/CD ارزیابی میکند و از امضای مصنوعات برای تأیید انطباق پشتیبانی میکند و اقدامات امنیتی را بیشتر میکند.
Lineaje
هدف
Lineaje ارائه زنجیره تامین نرم افزار جامع است. مدیریت امنیت، که توسط بنیانگذارانی که در زمینه توسعه نرم افزار نقطه پایانی و زمان اجرا تخصص دارند هدایت می شود. ناشی از نگرانی در مورد حوادثی مانند هک SolarWinds و XZ Utils backdoor، Lineaje برای رفع آسیبپذیریها در زنجیرههای نرمافزار و ایجاد خطوط لوله، مناطقی که معمولاً برای نرمافزار زمان اجرا غیرقابل دسترس هستند، طراحی شده است.
پلتفرم یکپارچه Lineaje میتواند هر شی – اعم از کد منبع، بسته یا ظرف – را تجزیه کند تا ساختار مؤلفه یا درخت وابستگی آن را آشکار کند و آن را با استفاده از انواع مختلف مورد تجزیه و تحلیل قرار دهد. از اسکنرها، شامل هر دو منبع باز و انحصاری Lineaje. سپس این داده ها را جمع می کند و از یک ماژول هوش مصنوعی برای بررسی دقیق آن ها استفاده می کند. Lineaje نه تنها در خط لوله داخلی CI/CD عمل می کند، بلکه به مصرف مولفه های منبع باز که از خطوط لوله CI/CD خارجی منشأ می شوند نیز گسترش می یابد.
یک کشف هشداردهنده توسط Lineaje این است که تقریباً ۵۶ درصد از آسیبپذیریها در اکوسیستم منبع باز بدون رسیدگی باقی میمانند. اغلب، توسعه دهندگان ناخواسته اجزای منبع باز منسوخ یا رها شده را به خطوط لوله خود وارد می کنند که منجر به مجموعه ای از آسیب پذیری ها می شود. عمق Lineaje در کشف وابستگی های فراتر از سطح بسته – کشف وابستگی های ضمنی – بسیار مهم است. این قابلیت Lineaje را قادر می سازد تا اسکن و تجزیه و تحلیل کامل اجزای منبع باز را انجام دهد.
برای هر مؤلفه شناسایی شده، Lineaje از تأیید مبتنی بر اثر انگشت برای ردیابی منشأ آن و تأیید صحت آن استفاده می کند، و اطمینان حاصل می کند که مؤلفه از یک مخزن منبع معتبر به یک تعهد خاص منشا می گیرد. شناسه. Lineaje کل دودمان را برای تشخیص دستکاری احتمالی بالادست بررسی میکند، سپس از گواهی مبتنی بر اثر انگشت برای نقشهبرداری سطوح یکپارچگی نرمافزار، و سنجش خطرات دستکاری استفاده میکند.
این فرآیند دقیق یک SBOM (صورتحساب نرمافزاری مواد) و مخزن دادهای را ایجاد میکند که به راحتی از طریق قابلیتهای جستجوی Lineaje قابل دسترسی است. پرسوجوها را میتوان با کمک ماژول هوش مصنوعی Lineaje به خطمشیها، اولویتبندی اقدامات تبدیل کرد، که به برنامهریزی نسخه بعدی شرکت کمک میکند و در عین حال آسیبپذیریها را کاهش میدهد.
امنیت Myrror
Myrror Security بر شناسایی حملات زنجیره تامین نرم افزار تمرکز دارد. این یک مقایسه کامل بین کد باینری و کد منبع متناظر آن انجام میدهد، با هدف شناسایی هرگونه مغایرت، زیرا در حالت ایدهآل نباید هیچ کدام در نسخه باینری آماده برای استقرار تولید وجود داشته باشد. نمایندگان Myrror گفتند که این رویکرد می توانست از حوادثی مانند حملات SolarWinds و XZ Utils جلوگیری کند.
Myrror کد منبع را تجزیه و تحلیل می کند و آن را با نسخه باینری با استفاده از صورتحساب نرم افزاری از مواد تولید شده از منبع مقایسه می کند. این فرآیند به شناسایی آسیبپذیریها در SBOM کمک میکند و امکان ارزیابی دسترسپذیری حمله و تهدیدات بالقوه برای پایگاه کد را فراهم میکند. در حالی که Myrror اهمیت تجزیه و تحلیل ترکیب نرم افزار (SCA) و SBOM را تشخیص می دهد، تمرکز اصلی آن بر شناسایی و جلوگیری از کدهای مخرب و حملات است.
امنیت Scribe
Scribe Security یک پلت فرم امنیتی زنجیره تامین نرم افزار را ارائه می دهد، استفاده از فناوری مبتنی بر گواهی (SBOM در هر مرحله از فرآیند توسعه) برای شناسایی و جلوگیری از دستکاری در حین ارائه شواهد امضا شده برای تضمین انطباق. Scribe که در کل چرخه عمر توسعه نرم افزار (SDLC) مستقر شده است، شواهد جامعی از تمام فعالیت های مرتبط با کد را ثبت می کند. سپس این اطلاعات در یک نمودار دانش ترکیب می شود و بینش هایی را در مورد محصول، خط لوله و پویایی فرآیند ارائه می دهد. مشتریان می توانند به طور موثر ریسک و اعتماد را با استفاده از تجزیه و تحلیل Scribe مدیریت کنند، که کاهش خودکار ریسک را در چارچوب SDLC امکان پذیر می کند.
Seal Security
Seal Security بر آسیبپذیری منبع باز تمرکز میکند وصله زدن با این حال، بهجای اینکه توسعهدهندگان به دنبال بهروزرسانیهای نرمافزاری برای رفع آسیبپذیریها باشند، Seal جدیدترین وصلههای امنیتی را دریافت میکند و آنها را با تمام نسخههای قبلی آسیبدیده کتابخانه سازگار میکند، و این وصلههای مستقل را بهراحتی در دسترس توسعهدهندگان قرار میدهد تا به عنوان بخشی از این آسیبپذیریها مصرف کنند. فرآیند ساخت این فرآیند وصلهسازی را برای توسعهدهندگان و تیمهای امنیتی برنامهها ساده میکند، زیرا مهندسان اکنون میتوانند به طور خودکار آسیبپذیریها را در طول فرآیند ساخت برطرف کنند. در نتیجه، زمان صرف شده برای هماهنگی بین این تیم ها به طور قابل توجهی کاهش می یابد.
ترومزو
Tromzo بر تسریع اصلاح، ادغام با اسکنرهای امنیتی تمرکز دارد ، اسکنرهای آسیب پذیری، پلتفرم های ابری و مخازن کد برای ارائه یک منبع حقیقت واحد برای همه آسیب پذیری هایی که ممکن است در شرکت خود داشته باشید. از آنجایی که Tromzo همه آن دادهها را جمعآوری و مرتبط میکند، آنها همه داراییهای مختلف شما را میدانند – مخازن، وابستگیهای نرمافزار، SBOM، کانتینرها، میکروسرویسها و غیره – و مالک آنها میدانند. بنابراین، هنگامی که ترومزو به آسیبپذیریها نگاه میکند، میتواند به استنباط اینکه کدامیک دارای ریسک بیشتری هستند (همراه با ورودی مشتری به ریسک، بر اساس اینکه آیا یک برنامه کاربردی برای کسبوکار حیاتی است یا به طور بالقوه دارای اطلاعات حساس یا شخصی است) کمک میکند. یک نمای ریسک از کل زنجیره تامین نرم افزار. از آنجا، Tromzo تریاژ را خودکار می کند تا ابتدا خطرناک ترین آسیب پذیری ها را برطرف کند.
پست های مرتبط
۷ راه اندازی امنیتی برنامه در RSAC 2024
۷ راه اندازی امنیتی برنامه در RSAC 2024
۷ راه اندازی امنیتی برنامه در RSAC 2024