GitGuardian, мировой лидер в области автоматического обнаружения секретов и их исправления, выпустила сегодня свой модуль анализа состава программного обеспечения (SCA). SCA напрямую влияет на работоспособность кодовой базы организаций, автоматизируя обнаружение уязвимостей, расстановку приоритетов и исправление зависимостей программного обеспечения. Его дополнительные возможности обеспечивают лицензирование кода и соответствие нормативным требованиям, такие как создание комплексной спецификации SBOM (Software Bill of Materials).
Программное обеспечение с открытым исходным кодом изменило процесс разработки программного обеспечения, предоставив разработчикам доступ к обширному пулу повторно используемых компонентов. Однако зависимости с открытым исходным кодом могут быть значительной проблемой безопасности для организаций, поскольку разработчики часто доверяют проектам, проверенным сообществом, без их тщательной оценки. Кроме того, в связи с недавними правительственными постановлениями США и Европы, юридические группы также требуют от разработчиков быть прозрачными в вопросах лицензирования программного обеспечения и использования компонентов.
“Если одна из ваших скрытых зависимостей станет уязвимой, радиус поражения может быть огромным”, – сказал Эрик Фурье, генеральный директор GitGuardian. “При среднем количестве более 500 прямых и транзитивных зависимостей на проект кода крайне важно иметь упреждающую стратегию. Вам следует сместиться влево и рассмотреть возможность внедрения мониторинга всей цепочки поставок программного обеспечения. Gitguardian SCA предлагает автоматическое определение приоритетов уязвимостей на основе контекста и практические рекомендации по устранению. Без эффективного инструментария ваша команда будет тратить драгоценное время на мелкие проблемы, в то время как критические инциденты останутся без внимания.”
GitGuardian SCA специально разработан для использования в быстро меняющихся средах DevSecOps. Последнее дополнение к платформе code security от GitGuardian предоставляет группам безопасности и разработчикам унифицированное решение для устранения уязвимостей, основанное на совместной работе между командами, видимости инцидентов и контексте.
Он позволяет инженерам по безопасности быстро выявлять все приложения с небезопасными зависимостями, автоматически расставлять приоритеты инцидентов по степени серьезности и предлагать разработчикам исправить их. Инженеры-программисты получают рекомендации по исправлению для поддержания скорости доставки и гибкости при одновременном повышении уровня своей безопасности.
Подробная аналитика SCA позволяет группам безопасности приложений отслеживать обнаруженные уязвимости и отслеживать эффективность их исправления. GitGuardian позволяет им выявлять и устранять узкие места для оптимизации процесса разработки.
Кроме того, модуль SCA оценивает юридические риски в цепочке поставок программного обеспечения и сообщает о них. Эта информация имеет решающее значение для предотвращения угроз интеллектуальной собственности организаций и обеспечения соблюдения политик лицензирования и безопасности.
В соответствии с постоянно меняющимися государственными нормативными актами в отношении программного обеспечения юрисконсульт может создать полный SBOM компонентов приложений с открытым исходным кодом и сторонних производителей, а также их вложенных зависимостей.
Постоянная поддержка GitGuardian практики сдвига влево помогает согласовать команды разработчиков программного обеспечения и систем безопасности без ущерба для скорости выполнения. В рамках своих постоянных усилий по сокращению возможностей атак организаций GitGuardian расширяет возможности SCA за счет своего CLI-инструмента ggshield. Он добавляет уровни проверок на каждом этапе процесса разработки, от локальных сред разработчика до конвейеров непрерывной интеграции (CI).
“К концу месяца мы будем поддерживать два дополнительных языка: PHP и Rust. Но мы на этом не останавливаемся. Следующим пунктом плана является обнаружение вредоносных зависимостей, чтобы предотвратить путаницу в зависимостях и опечатки. Вот что произошло, когда пакет Python ‘ctx‘ был взломан для кражи ключей AWS. И мы работаем над дополнительными измерениями, чтобы расставить приоритеты для исправления, например, вероятность использования уязвимостей “, – добавил Эрик.
80% организаций часто выпускают код, но менее 30% постоянно проводят его аудит, часто из-за отсутствия комплексной платформы безопасности.
Набор продуктов GitGuardian устраняет этот пробел, интегрируя ряд инструментов безопасности, включая обнаружение секретов, публичный мониторинг, анализ состава программного обеспечения, защиту инфраструктуры в виде кода и Honeytoken.