Supply-Chain-Security-Komplettlösung von Checkmarx stoppt gefährliche Open-Source-Pakete

Illustration: Absmeier, Checkmarx

Im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) ermöglicht es die Lösung Entwicklern, Open-Source-Code sicher zu nutzen und die Weichen für eine moderne Anwendungsentwicklung zu stellen.

 

Checkmarx, einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, präsentiert mit Checkmarx Supply Chain Security eine neue Lösung, die zuverlässig verdächtige und potenziell gefährliche Open-Source-Pakete in modernen Entwicklungsumgebungen identifiziert.

Anzeige

 

Nach einer Prognose von Gartner [1] »werden bis 2025 60 Prozent der Unternehmen ihre Software-Delivery-Pipeline härten, um sich vor Supply-Chain-Security-Angriffen zu schützen.«

»Angreifer richten ihre Aufmerksamkeit heute immer öfter auf die Software-Supply-Chain. Dabei missbrauchen sie die Ökosysteme der Open-Source-Software, die bislang stets hohes Vertrauen in der weltweiten Entwickler-Community genossen«, erklärt Emmanuel Benzaquen, CEO von Checkmarx. »Checkmarx setzt bei der Identifizierung von Supply-Chain-Angriffen über Code-Pakete auf einen konsequent Entwickler-zentrierten Ansatz – und führt leistungsstarke Threat Intelligence, Verhaltensanalysen und Machine-Learning-Modelle in einer ganzheitlichen Lösungssuite zusammen.«

 

Security-Analysen und Thought Leadership im Bereich Supply Chain

In den vergangenen Monaten identifizierte das Security-Research-Team von Checkmarx hunderte gefährlicher Open-Source-Pakete. Die Berichte dieser Experten – die alle im Checkmarx-Blog verfügbar sind – unterscheiden dabei drei wichtige Arten von Angriffen: Dependency Confusion, Typosquatting und Chainjacking. Darüber hinaus ist im Blog ein weiterer Beitrag erschienen, der drei zentrale Trends rund um potenziell gefährliche Open-Source-Pakete beschreibt.

Im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) überwacht Checkmarx Supply Chain Security den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien, analysiert die Reputation der beteiligten Open-Source-Entwickler und überprüft das Verhalten der Pakete, indem diese in einer isolierten Umgebung ausgeführt werden. Auf diese Weise erhalten die Unternehmen lückenlose Transparenz über die gesamte Software Supply Chain hinweg und vermeiden gefährliche blinde Flecken in der Application Security.

»Die heute auf dem Markt verfügbaren Lösungen sind reaktiv und verlassen sich ganz auf das Feedback der Community. Auf diese Weise können sie potenziell angreifbaren Code zwar identifizieren und analysieren – sie wissen aber nichts über den Entwickler, der hinter dem Code steht«, erklärt Tzachi Zorenstain, Head of Supply Chain Security bei Checkmarx. »Die Checkmarx Supply Chain Security basiert auf dem einfachen Prinzip, grundsätzlich keinen Code von Fremden zu übernehmen. Stattdessen können die Entwickler einfach auf unsere Reputationsdatenbank zugreifen und den Credit Score des jeweiligen Contributors verifizieren. So können Unternehmen von den Vorzügen agiler Entwicklungsumgebungen profitieren – und das Vertrauen ihrer Kunden dauerhaft gewinnen und behalten.«

 

Quelle: Checkmarx

 

Leistungsstarke Supply Chain Security für moderne Entwicklungsumgebungen

Die Checkmarx Supply Chain Security gibt Unternehmen ein breites Feature-Set an die Hand, um ihre Anwendungsentwicklung nachhaltig zu beschleunigen und Open-Source-Software sicher und optimal geschützt zu verwenden:

  • Software Bill of Materials (SBOM) mit Fokus auf Health und Wellness: Stellt Hintergrund-Informationen zum Open-Source-Paket und zur Community bereit und generiert die SBOM.
  • Erkennung gefährlicher Pakete: Identifiziert Dependency Confusion, Typosquatting, Chainjacking und andere gefährliche Aktivitäten und Pakete.
  • Contributor-Reputation: Stellt das Vertrauen in Open-Source-Komponenten wieder her, da Unternehmen die Aktivitäten der Open-Source-Entwickler nicht mehr manuell über alle für sie relevanten Projekte hinweg überwachen müssen.
  • Verhaltensanalysen: Integriert statische und dynamische Code-Analysen des Laufzeitverhaltens. Die Ausführung in einer isolierten Umgebung gestattet detaillierte Analysen der Code-Pakete und bietet zuverlässigen Schutz vor schwer identifizierbaren Bedrohungen.
  • Durchgängige Verarbeitung der Ergebnisse: Liefert kontinuierliche Updates unserer Security-Research- und Threat-Hunting-Experten, um unseren Kunden jederzeit aktuelle Reputations- und Schwachstellendatenbanken bieten zu können.

 

Checkmarx Supply Chain Security ist ab sofort verfügbar. Mehr dazu erfahren Sie hier: https://checkmarx.com/supply-chain-security/

 

[1] Gartner, Predicts 2022: Modernizing Software Development is Key to Digital Transformation, von Manjunath Bhat, Mark Horvath et al., 3. December 2021. GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.