現(xiàn)在可與 Checkmarx 軟件組合分析 （SCA） 一起使用，該解決方案恢復了對現(xiàn)代應用程序開發(fā)的信任，同時讓開發(fā)人員接受開源代碼

　　中國，上海， 2022年3月29日 - （ACN Newswire） - Checkmarx，以開發(fā)人員為中心的應用程序安全測試 （AST） 解決方案的全球領導者，今天宣布推出 Checkmarx 供應鏈安全 Checkmarx 供應鏈安全 解決方案，以識別現(xiàn)代應用程序開發(fā)生命周期中的可疑和潛在惡意開源包。

　　據(jù) Gartner?［i］ 稱，“到 2025 年，60% 的組織將加強其軟件交付管道，以防止供應鏈安全攻擊?！?/p>

　　Checkmarx 首席執(zhí)行官 Emmanuel Benzaquen 表示：“攻擊者正在通過濫用開源軟件生態(tài)系統(tǒng)將注意力轉(zhuǎn)移到軟件供應鏈上，而開源軟件生態(tài)系統(tǒng)傳統(tǒng)上受到全球開發(fā)者社區(qū)的信任。” “Checkmarx 正在采用一種開發(fā)人員優(yōu)先的方法來檢測代碼包中的供應鏈攻擊，利用一整套威脅情報、行為情報和機器學習模型?！?/p>

　　供應鏈安全研究與思想領導力

　　在過去的幾個月里，Checkmarx 安全研究團隊已經(jīng)識別出數(shù)百個惡意開源包。Checkmarx 博客中提供了強調(diào)三種主要類型的研究文章—— 依賴混淆， 域名仿冒 和 鏈劫。 此處 提供了一份強調(diào)惡意開源軟件包的三個新興趨勢的附加報告。

　　Checkmarx 供應鏈安全與 Checkmarx 軟件組合分析 （SCA） 合作，識別開源項目的健康和安全異常，分析貢獻者的聲譽，并通過引爆室內(nèi)的分析直接詢問包裹的行為。 結(jié)果是全方位的軟件供應鏈洞察力和分析，彌合了組織應用程序安全性方面的重大差距。

　　Checkmarx 供應鏈安全負責人 Tzachi Zorenstain 表示：“目前市場上的解決方案是被動的，它們依賴于社區(qū)反饋來檢測易受攻擊的代碼并分析代碼，而不是背后的人?！?“Checkmarx供應鏈安全解決方案建立在‘不要從陌生人那里獲取代碼‘的原則之上，而是參考我們的聲譽數(shù)據(jù)庫，它就像代碼貢獻者的信用評分系統(tǒng)。我們的目標是支持企業(yè)快速應用 發(fā)展，同時保持客戶的信任?！?/p>

　　現(xiàn)代應用程序開發(fā)的全面供應鏈安全

　　Checkmarx 供應鏈安全使組織能夠通過一整套關鍵功能安全可靠地使用開源軟件加速現(xiàn)代應用程序開發(fā)：

　　Health and Wellness and Software Bill of Materials （SBOM）：提供開源軟件包和社區(qū)的知識，并結(jié)合 SBOM 創(chuàng)建。

　　惡意包檢測：檢測依賴混淆、域名仿冒、鏈式劫持和其他惡意活動和包。

　　貢獻者聲譽：無需手動分析所有項目中可能影響組織的貢獻者活動，從而恢復對開源包來源的信任。

　　行為分析：結(jié)合靜態(tài)和動態(tài)分析來觀察代碼的運行情況。 Checkmarx 供應鏈安全引爆室提供對代碼包的深入分析并消除歧義以防御隱蔽威脅。

　　持續(xù)結(jié)果處理：提供 Checkmarx 安全研究和威脅搜尋的持續(xù)更新，維護聲譽和漏洞數(shù)據(jù)庫以供客戶使用。