WhiteSource(现为Mend)推出了自动修复以提高安全性

应用程序安全供应商WhiteSource今天宣布了一个新的平台,该平台为开源软件和定制代码提供补救措施。除此之外,该公司还宣布了一个新的品牌标识和名称——Mend。该公司指出,更名代表了其消除安全与开发团队之间现有隔阂的承诺。

当WhiteSource购买Xantizer和DefenseCode时,VentureBeat曾报道过该平台的发布。Mend(原名WhiteSource)在今年早些时候首次推出了WhiteSource静态应用程序安全测试(SAST)解决方案,并期望在今年下半年将其与软件组合分析(SCA)结合起来。该公告现在标志着平台及其SAST和SCA功能的启动。

WhiteSource(现为Mend)推出了自动修复以提高安全性

Devops采用增加攻击面

网络罪犯意识到由于devops的采用,应用程序的攻击面正在增长。攻击者已经发现,由于网络是安全的,应用程序往往是最薄弱的环节,因为大多数都没有得到适当的保护。由于过时的应用程序安全解决方案留下的漏洞越来越多,应用程序正成为更有吸引力的目标。一份报告发现99.7%的应用程序至少有一个漏洞。

除此之外,组织面临着以更快的速度交付软件的日益增长的压力。组织在保护应用程序的同时也面临着越来越大的压力,同时还要更快地交付软件。根据另一项研究,由于时间限制,超过一半的组织在其应用程序安全计划中定期将有风险的代码发布到生产中。

根据公司联合创始人兼首席执行官拉米·萨斯(Rami Sass)的说法,Mend“打破了安全和开发交付进度之间的平衡”,它提供了一种“自动减少软件攻击面,同时减少应用程序安全的大部分负担”的解决方案。他指出,这使得开发团队能够更快地生成高质量、安全的代码。

SAST的自动修复

解决软件漏洞的有效方法必须包括使用安全测试工具来发现使用SAST的专有代码中的漏洞和使用SCA的开源代码中的漏洞。Mend声称它的平台现在是第一个自动发现和修复涉及开源和自定义代码的应用安全漏洞的平台。该公司表示,它将SAST的自动修复与Mend现有的SCA自动修复能力相结合。

SAST是一种流行的应用程序安全工具,它可以搜索应用程序的源代码、二进制代码或字节代码以查找漏洞并修复它们。另一方面,SCA是一种应用程序安全方法,它允许开发团队快速跟踪和分析引入项目的任何开源组件。

SAST解决方案从“内到外”检查应用程序,不需要运行的系统进行扫描,而SCA则充当看门人,检查可能允许入侵者访问的未锁的门和打开的窗口。SCA检查包管理器、容器图像和二进制文件的源代码,并将它们记录在物料清单(BOM)中,这是一个已知漏洞的目录。

SQL注入、服务器端注入和命令注入只是可以被利用的漏洞中的一小部分。虽然同时包含SAST和SCA的软件并不多见,但一项研究发现,同时包含SAST和SCA的软件安全程序更彻底,使用它的组织能取得更好的结果。

Mend声称其应用安全平台为开源和自定义代码提供自动修复,为每一行代码提供精确的补丁,允许任何级别的开发人员毫不费力地生成高质量、安全的代码。

到目前为止,应用程序安全解决方案只能提供培训材料和示例来帮助开发人员找到他们遇到的每个安全问题的答案。根据Synopsys的一项研究,这种低效的过程要求开发人员在安全性和按时完成之间做出选择。

另一方面,Mend声称它的平台为SCA和SAST提供了自动修复,它会立即在开发人员的存储库中提供,以便轻松地集成到开发人员流程中。“开发者不必为了速度而放弃安全性,”该公司表示。

供应链防御者集成

作为其声明的一部分,Mend说它的供应链卫士,以前被称为WhiteSource Diffend,将与现有的Jfrog Artifactory插件集成。

在网络安全领域,硬件和软件、云或本地存储和分发机制都是供应链的一部分。供应链攻击,也被称为第三方攻击,已经成为一种针对开发者和供应商的新型危险,并且这种攻击越来越多。

现代开发管道是复杂的自动化环境,具有广泛的持续集成(CI)和持续交付(CD)工具。对于devops团队来说,CI/CD是一种最佳实践,它可以让软件开发团队专注于满足业务需求,同时确保代码质量和安全性。然而,开源代码经常被开发人员重新利用,每个软件项目可能只依赖于数百个开源项目。因此,软件供应链成为黑客的热门目标。

自太阳风事件发生以来,供应链遭受攻击的数量和复杂性不断上升。一份报告显示,供应链受到的攻击增加了430%。鉴于并非每一次攻击都被报告或检测到,真实的数字可能更高。恶意攻击者已经转向容易攻击的目标,并发现了更创新的方法,使他们的努力最难被发现,而且最有可能达到理想的目标。

供应链攻击使公司特别容易受到攻击,因为它们可以被用于进行任何类型的网络攻击,例如数据泄露,其中私人、敏感或受保护的材料被复制、访问、获取或分发给未经授权的人使用。

Mend说它的供应链防御者是一个解决方案,检测和阻止这种恶意开源软件与Mend平台插件的Artifactory注册表。

该公司表示,通过使用JFrog Artifactory作为私人存储库管理器,企业客户可能能够阻止有害的开源软件进入他们的代码库。根据Mend的新闻稿,公司可以通过安装一次供应链防御器,通过一个集中的政策强制和审计点来保护所有涉及JavaScript或Ruby的项目。

为了获得开发者本地环境的统一视图,该公司表示,所有开源和自定义代码的结果都显示在自定义或第三方代码库中。

Defy Security的解决方案架构经理Josh Johnson表示,应用安全行业主要集中在漏洞识别和管理上。

“作为Mend的合作伙伴,我们很高兴该公司能够在这个新品牌下继续致力于通过自动修复来解决基于代码的安全问题。Defy Security很高兴看到Mend扩大了他们修复安全漏洞的自动化能力。”Johnson说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除。