软件组成分析产品检测应用程序组件(包括二进制)中的漏洞,并创建详细的软件材料清单
Grammatech近期发布了CodeSentry,它执行二进制软件组成分析(SCA)来盘点定制开发的应用程序中所使用的第三方代码,并检测它们可能存在的漏洞。CodeSentry可以识别盲点,它允许安全专业人员在整个软件生命周期中快速轻松地测量和管理风险。
GrammaTech首席执行官Mike Dager说:“使用第三方组件而不是从头开始构建应用程序是加速上市时间的公认做法,这推动了可重用代码的大量增长。现在,大多数企业都意识到第三方代码对其应用程序和业务所造成的安全风险,以及他们对CodeSentry提供的软件组成分析功能的需求,它检测二进制的精度无与伦比”。
利用开源代码漏洞进行的高调攻击扩大了对第三方代码进行审查的需求。据Gartner表示:“软件供应链风险已得到越来越多的关注。与偶然出现的漏洞相比,已经在越来越多的事件中发现,攻击者故意引入恶意代码,以利用开源社区中存在的信任”。 1
由于第三方软件可以以源代码或二进制的形式进行交付,因此使用它的组织可能不知道其底层组件。该代码可以是开源代码,货架产品(COTS)或合约软件。CodeSentry可以检测组件和与之相关的漏洞,包括网络组件,GUI组件或身份验证层。它使用深度二进制分析来创建详细的软件物料清单(SBOM)和已知漏洞的完整列表。
GrammaTech首席产品官Vince Arneja说:“使用第一代软件组成分析工具(这些工具依赖于源代码来识别第三方组件)的客户通常处于劣势,因为他们无法看到以二进制文件形式交付的软件。GrammaTech提供二进制分析和创建软件物料清单的能力消除了这个危险的盲点,使企业可以主动地缩小攻击面”。
保护现代软件栈
CodeSentry基于GrammaTech开创性的二进制代码分析和机器学习技术,无需源代码即可提供深层的可视性,以及提供以下关键优势:
-
使用简单,通过应用程序上载界面接受本机二进制文件,zip文件或其他存档文件。二进制文件不需要调试信息,并且可以基于任意数量的指令集架构(ISAs)。
-
分析将要运行的代码,而不是构建环境。这极大地减少了由于构建环境中多余的代码和构建配置而被排除在外的组件所造成的误报。
-
通过各种组件匹配算法来识别本地二进制文件中存在的组件,以收集版本号范围,创建SBOM并提供与CVE和CVSS评分的链接。
-
为了实现这种级别的二进制分析,CodeSentry使用了先进算法来检测应用程序中的组件,算法具有超高的召回率(RECALL)和精妙程度,包括自然语言处理中使用的字符串。其独特的“嵌入”技术使CodeSentry可以将组件分解映射到多维向量,并将它们与从组件派生的向量进行比较。
CodeSentry的关键优势
▶ 大规模的软件组件分析,高召回率,高精度
▶ SBOM和漏洞检测
▶ 使用公共和私有数据库
▶ 单次扫描和组件历史记录
▶ 支持本机二进制文件
▶ 本地部署和SaaS
关于GrammaTech
GrammaTech通过减少开发软件的漏洞并减少其受到网络攻击的风险,使企业能够提供更安全的产品和服务。CodeSonar和CodeSentry产品与DevSecOps工作流集成在一起,发现源代码和第三方代码中的安全漏洞,并跟踪代码的谱系以实现可追溯性。
GrammaTech还是国防和情报界(包括DoD,DARPA和NASA)值得信赖的网络安全和软件研究合作伙伴。了解产品详情请访问http://www.softtest.cn/。
1 Gartner,“软件组成分析的技术见解”,Dale Gardner,2019年11月1日
扫一扫
349
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
