Checkmarx übernimmt Software-Supply-Chain-Security-Anbieter Dustico

Übernahme erschließt Checkmarx-Kunden den Zugang zu verhaltensbasierten Quellcode-Analysen für die Abwehr von Angriffen auf Open-Source-Supply-Chains.

 

Checkmarx, einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat die Übernahme von Dustico bekannt gegeben, einer SaaS-basierten Lösung, die Schadcode und Hintertüren in Open-Source-Software-Supply-Chains erkennt. Im Zuge der Übernahme wird Checkmarx seine Application-Security-Testing-Lösungen mit der Verhaltensanalysetechnologie von Dustico kombinieren. Kunden erhalten damit einen ganzheitlichen Überblick über das Risiko, die Reputation und das Verhalten von Open-Source-Paketen und stellen so die Weichen für eine zuverlässige Abwehr von Supply-Chain-Angriffen.

Anzeige

 

 

Laut Gartner werden »bis 2025 45 Prozent aller Unternehmen weltweit Ziel eines Software-Supply-Chain-Angriffs sein, eine Verdreifachung gegenüber 2021 [1].« Dies unterstreicht einmal mehr, dass die Sicherheit dieser Netzwerke von zentraler Bedeutung ist. Attacken auf die Supply Chain sind häufig darauf zurückzuführen, dass Angreifer schwer zu erkennenden, manipulierten Code in Open-Source-Pakete einschleusen, die später in der Softwareentwicklung verwendet werden. Obwohl Open Source eine Vielzahl von Vorteilen bietet, müssen Entwickler die Reputation und Vertrauenswürdigkeit der Komponenten evaluieren und bei der Integration externer Code-Pakete in moderne Anwendungen einen Zero-Trust-Ansatz verfolgen.

 

Die Technologie von Dustico geht über herkömmliche Quellcode-Analysen hinaus und setzt auf einen dreistufigen Ansatz zur Bewertung des Verhaltens und der Reputation von Open-Source-Paketen: Zuerst untersucht die Lösung die Vertrauenswürdigkeit des Paket-Anbieters und der beteiligten Mitglieder der Open-Source-Community. Dann wird der Status der Pakete analysiert, um einen Überblick über deren Update-Prozesse und die Wartungsfrequenz zu erhalten. Und schließlich scannt die leistungsstarke Verhaltensanalyse-Engine von Dustico das Paket auf verborgenen Schadcode, einschließlich Hintertüren, Ransomware, mehrstufigen Angriffen und Trojanern.

 

Im Zusammenspiel mit den Ergebnissen der AST-Analysen von Checkmarx liefern diese Erkenntnisse Unternehmen und Entwicklern einen detaillierten, einheitlichen und effektiven Ansatz für das Management der mit Open Source verbundenen Risiken und der davon betroffenen Supply Chains.

 

»Wir freuen uns sehr, Dustico bei Checkmarx willkommen zu heißen – dieses junge Team zeigt, dass die israelische Hightech-Branche nach wie vor neue Maßstäbe im Bereich Cybersecurity und Innovation setzt«, so Emmanuel Benzaquen, CEO von Checkmarx. »Wenn wir die differenzierte Open-Source-Analyse von Dustico mit dem Best-of-Breed-Security-Testing von Checkmarx kombinieren, bietet dies unseren Kunden einen enormen Mehrwert – und hilft Ihnen, das Management und die Absicherung ihrer Software-Supply-Chains nachhaltig zu optimieren.«

 

»Angreifer fokussieren mehr denn je auf Software-Supply-Chains – von denen viele verstärkt auf Open Source basieren. Damit wächst die Gefahr, dass Pakete von Drittanbietern manipuliert sein könnten. Entwicklerteams sollten also proaktiv davon ausgehen, dass der gesamte Code, den sie beziehen, möglicherweise verändert wurde«, so Maty Siman, CTO von Checkmarx. »Mit Dustico bleiben wir unserer Mission treu, Open Source sicher zu machen, indem wir unseren Kunden helfen, Schwachstellen, Verhalten und Reputation mit einer einheitlichen Lösung zu analysieren. Entwickler und Security-Verantwortliche erhalten so die Informationen und das Selbstvertrauen, die sie brauchen, um sicherere Code-Pakete zu wählen und schneller sicherere Anwendungen zu entwickeln.«

 

Zu den Schlüsselfunktionen von Dustico gehören außerdem:

 

  • Advanced Machine Learning und Threat Intelligence. Basierend auf hochentwickelten Machine-Learning-Modellen erkennt Dustico automatisch ungewöhnliches Verhalten in Code-Paketen, gleicht IOCs mit verschiedenen Threat Intelligence Feeds ab und ermöglicht eine zielgenaue Erkennung von Angreifer-Aktivitäten (TTPs).
  • Die Technologie von Dustico ist darauf ausgelegt, Pakete zur Analyse abzurufen, sobald sie online veröffentlicht werden, was Entwicklerteams Zeit spart und eine optimierte User-Experience garantiert.
  • Developer-First-Ansatz. Da Dustico nativ in die Checkmarx-Plattform eingebettet ist, profitieren Entwickler von einer reibungslosen User-Experience durch direkte Integration in ihre CI- und Build-Systeme.

 

»Dies ist eine sehr aufregende Zeit für Dustico und unsere Community«, sagte Tzachi Zornstain, Mitbegründer und CEO von Dustico. »Wir haben Dustico gegründet, um Unternehmen bei der Bewältigung der explosionsartigen Zunahme von Supply-Chain- und Dependency-Angriffen zu unterstützen und ihr Vertrauen in Open-Source-Software zu stärken. Wir freuen uns sehr darauf, diese Vision als Teil von Checkmarx weiterzuverfolgen und unsere Kompetenzen einem globalen Kundenkreis zur Verfügung zu stellen.«

 

Erfahren Sie mehr zur Übernahme von Dustico durch Checkmarx im Blog.

 

 

[1] Gartner, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Manjunath Bhat, Dale Gardner, Mark Horvath, 15. Juli 2021

 

Checkmarx beruft Roman Tuma als Chief Revenue Officer

Erfahrener Security-Experte zeichnet für die Umsetzung der Go-to-Market-Strategie von Checkmarx und für den Ausbau des Geschäfts mit entwicklerzentrierten AST-Lösungen verantwortlich.   Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat Roman Tuma als neuen Chief Revenue Officer (CRO) berufen. Roman Tuma, der bislang als Vice President of Sales das Checkmarx Geschäft in den EMEA-, LATAM- und APAC-Regionen koordinierte, zeichnet…

Checkmarx ist Leader im Gartner Magic Quadrant für Application Security Testing 2021

Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt bekannt, dass das Unternehmen im Gartner Magic Quadrant for Application Security Testing 2021 im vierten Jahr in Folge als »Leader« eingestuft wurde. Im Report würdigt Gartner Checkmarx für die ganzheitliche Vision und die hohe Umsetzungskompetenz im Markt für das Application Security Testing (AST).   Laut den Autoren des Reports »hat…

Checkmarx schützt Cloud-native Anwendungen mit neuer Scanning-Lösung für Infrastructure-as-Code (IaC)

Open-Source-basierte IaC-Scan-Engine ermöglicht es Entwicklern als branchenweit umfangreichste Plattform, Konfigurationsprobleme zu identifizieren und zu beheben.   Checkmarx, Anbieter im Bereich Software-Security für DevOps, bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglicht, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus…

Checkmarx stellt Application Security Testing im AWS Marketplace bereit und erlangt die AWS DevOps Kompetenz

Listing und Zertifizierung positionieren Checkmarx als flexiblen und verlässlichen Partner für Unternehmen, die einfach sichere Software entwickeln wollen. Checkmarx, Anbieter von Software-Security-Lösungen für DevOps, hat zwei wichtige Meilensteine in der Zusammenarbeit mit Amazon Web Services (AWS) erreicht: Checkmarx stellt seine Software-Security-Lösungen ab sofort über den AWS Marketplace bereit und erlangt darüber hinaus den AWS DevOps…

Software-Tipps für ein erfolgreiches Unternehmen

Überlegen Sie, ein Unternehmen zu gründen? Dann wollen Sie sicherlich auch erfolgreich sein und von Beginn an richtig durchstarten. Dass das kein Honiglecken ist, sollte jedem klar sein. Schließlich gibt es unzählige Beispiele von gescheiterten Firmengründungen. Entweder weil der Businessplan fern ab von der Realität war, oder weil man sich hier und dort verkalkuliert hat,…

Ein globaler Standard für die Industrie-4.0-Transformation: Vom Status Quo zu konkreten Optimierungsmaßnahmen

Die Republik Singapur, TÜV SÜD und weitere Industriepartner haben mit dem Smart Industry Readiness Index (SIRI) den ersten, global anerkannten Index für Unternehmen geschaffen, um das komplexe Thema Industrie 4.0 systematisch umzusetzen. Gerade in der produzierenden Industrie ist »Industrie 4.0« ein wichtiger Treiber für intelligente Vernetzung von Produktion, Prozessen und Innovationen, um die Wettbewerbsfähigkeit zu…

Mehr Sicherheit in der Wolke: Vier Vorteile von Cloud Services im Vergleich zu On-Premises

Die verstärkte Remote-Arbeit hat, neben weiteren Variablen, die Cloud-Adaption von Unternehmen stark beschleunigt. Für viele Organisationen ist eine verteilte Belegschaft mit Optionen wie Home Office und Arbeiten von überall aus mittlerweile zu einem Teil der Unternehmenskultur geworden, der auch über die Pandemie hinaus Bestand haben wird. Dieser Wandel Richtung New Work erfordert jedoch eine Umstellung…

So werden Unternehmen das Passwort los

Die Anmeldung mit Benutzername und Passwort ist noch immer Standard. Doch dieses Verfahren hat viele Nachteile und Unternehmen suchen nach Alternativen. Spezialisten geben Tipps für die Einführung einer passwortlosen Anmeldung und erläutern, worauf Organisationen dabei achten sollten.   Obwohl über 80 Prozent aller Sicherheitsvorfälle in Zusammenhang mit gestohlenen, ausgespähten oder zu schwachen Passwörtern stehen, setzen…

DevSecOps: Fünf Aspekte für den optimalen ROI

Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken.   Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend…

Chancen für die Zusammenarbeit von Business und IT beim Umgang mit Unternehmensrisiken

Wie können Technikexperten die sich wandelnde Risikosituation in heutigen Geschäftsumgebungen handhaben, insbesondere die internen Auswirkungen von IT-Richtlinien zu Covid-19 und die Gefährdung durch externe Sicherheitsverletzungen?     SolarWinds, ein Anbieter von IT-Management-Software, präsentiert die Ergebnisse seines achten jährlichen IT-Trends-Reports. Der SolarWinds IT Trends Report 2021: Building a Secure Future wird acht Monate nach dem breit…

Netzwerk-Experten fordern NetOps-Schulungen

NetOps ist in der Praxis noch relativ neu. Netzwerk-Manager, -Architekten und -Engineers sind sehr daran interessiert, die nötigen Skills für den Übergang zu der an DevOps orientierten Arbeitsweise zu erlernen. Doch Fortbildungsmaßnahmen fehlen, so das Ergebnis einer Studie von Opengear [1].   Rasant geht die Verbreitung von Automatisierung, Virtualisierung und Orchestrierung in der gesamten IT-Branche…

40 Millionen Dokumente erfolgreich migrieren und archivieren

Energieversorger BS ENERGY löst IBM FileNet mit Archivierungslösung von kgs ab, spart Manpower sowie Kosten und ist für die Archivierung von SAP-Daten in der Cloud gerüstet.   Als 2016 die Gesellschafter der BS ENERGY entschieden, dass SAP das führende System des Energieunternehmens wird, zog das weitreichende Veränderungen nach sich. So geriet auch die bis dato…

Mit natürlicher Sprache zu tiefergehenden Erkenntnissen

Daten sind für Unternehmen ein wichtiger Erfolgsfaktor, denn sie stellen einen Vermögenswert dar, der den Geschäftserfolg maßgeblich mitbestimmt. Das alleinige Horten von Daten bringt aber noch keinen Mehrwert. Von wahrem Nutzen sind diese erst, wenn die darin verborgenen Informationen aufbereitet und jederzeit verfügbar sind. Nur dann lassen sich Fragen beantworten wie: »Was wissen wir alles…

Industrie 4.0: Modulare Produktion durch FTS

https://www.shutterstock.com/de/image-photo/automobile-production-605472758   Die Zeit der klassischen Fließbandproduktion, etwa in der Automobilbranche, scheint vorbei zu sein. Neue Technologien und effizientere Fertigungsmethoden sorgen für noch schneller und dabei qualitativ gleichbleibend arbeitende Produktionsanlagen. Bei dieser Industrie 4.0 setzt die Wirtschaft verstärkt auf eine modulare Produktion mithilfe von FTS (Fahrerlose Transportsysteme).   Automatisierung erfordert neue Produktionsmethoden Die Modularisierung im…

IT-Security as a Managed Service: Wie können kleine und mittlere Unternehmen ihre IT effizient absichern?

https://www.shutterstock.com/de/image-photo/security-theme-woman-using-her-laptop-1408603136   IT-Systeme werden immer komplexer und das Betreuen dieser Infrastrukturen wird zunehmend anspruchsvoller. Der weltweit und in Deutschland herrschende Fachkräftemangel führt zu vielen nicht besetzten Stellen in der IT. Gleichzeitig steigt das Risiko von Hackerangriffen seit Jahren kontinuierlich an, sodass umfassende IT-Security für Unternehmen jeder Größe von höchster Bedeutung ist.   Vor allem kleine…

PLM: Standardsoftware ist nicht die Antwort

Viele Anbieter im Bereich PLM (Product Lifecycle Management) preisen ihre Lösung damit an, dass sie out-of-the-box als Standardsoftware funktioniert. Das soll in der Theorie die Zusammenarbeit zwischen Herstellern und ihren externen Stakeholdern wie OEMs oder Zulieferern vereinfachen. In der Praxis sieht es jedoch oft anders aus: Denn der Einsatz von Standardsoftware wird den individuellen Anforderungen,…

IT-Abteilungen haben mehr Optimierungspotenzial als sie vermuten

Neue Erkenntnisse zum Status quo von Rechenzentren und zu Auswirkungen der Covid-19-Pandemie auf IT-Bereiche. Rund drei Viertel der Unternehmen im DACH-Raum spüren negative Auswirkungen der Covid-19-Pandemie und der damit verbundenen Wirtschaftskrise. Etwa ebenso viele suchen nach Möglichkeiten, die Kosten für den Betrieb ihres Rechenzentrums zu senken, ohne dabei Einbußen bei der Qualität hinnehmen zu müssen.…

Enterprise Content Management in der Cloud – Journey to the cloud

Laut einer Bitkom-Umfrage setzen zwei Drittel der Unternehmen auf Cloud Computing. Die grundlegenden Vorteile sind bekannt. Frühere Bedenken zumeist nivelliert. Inwiefern betrifft es jedoch den Aspekt Enterprise Content Management (ECM)? Mit ECM-Systemen managen Unternehmen komplexe und vertrauliche Inhalte. Im Gespräch erklärt Stefan Jamin, Senior Manager Industries and Innovation bei der CENIT AG, wie sich das Zusammenspiel von ECM-System und Cloud gestaltet.

Hohe Komplexitätsanforderungen der Cloud führen zu häufigen Sicherheitsfehlern – Firewall-Fehlkonfigurationen

Das Scheitern klassischer Netzwerksicherheitstechnologien in hybriden Multicloud-Umgebungen lässt sich beziffern. Marktforschungen zufolge gehen 99 Prozent der Firewall-Verstöße auf falsch konfigurierte Sicherheitsrichtlinien zurück. Was sind die häufigsten Fehler bei der Konfiguration und wie lassen sie sich vermeiden?