Log4j güvenlik açığının içgüdüsel bir şekilde gösterdiği gibi, açık kaynak kodu modern yazılımlardan ayrılamaz. Geliştiriciler, kendi programlarını yazarken GitHub gibi kaynaklardan bileşenler, parçacıklar ve kitaplıklar kullanarak, her el arabası oluşturduklarında tekerleği yeniden icat etmekten kaçınırlar. Ancak bu, çoğu yazılımın geliştiricilerinin bile bilmediği bağımlılıklara sahip olduğu anlamına gelir; bu da, görev açısından kritik uygulamanız için bir güvenlik açığı raporunun ne zaman geçerli olduğunu fark etmemeye veya herhangi bir güvenlik açığından tamamen kopmuş ciddi bir güvenlik açığını düzeltmek için çabalamaya yol açabilir. kaynak kodu ve dolayısıyla zararsız.
“Modern uygulamalardaki kodun %90’ı açık kaynak olduğundan ve güvenlik açıklarının %95’i geçişli bağımlılıklarda (OSS tarafından otomatik olarak getirilen yazılım paketleri) bulunduğundan, güvenlik ekipleri mühendisliğin üzerinde çalışacağı doğru risklere öncelik vermekte zorlanıyor” diyor. Thuy Nguyen, Endor Labs talep oluşturma direktörü. Şirketin odak noktası da bu: açık kaynak yazılım, CI/CD ardışık düzenleri ve sırlar genelinde riske öncelik vermek.
Endor bunu, bir şirketin güvenlik ilkeleri belirlemek için kullanabileceği genel bir risk puanını hesaplamak için çeşitli ölçümleri hesaba katan bağımlılık yaşam döngüsü yönetimini kullanarak yapar. Bir güvenlik açığının ciddiyetinden ziyade bir bağımlılığın kuruluşta nasıl kullanıldığını vurgular. En kötü güvenlik açığı bile, düşünceye göre, yalnızca bir saldırgan ona gerçekten ulaşabiliyorsa önemlidir.
Neden Erişilebilirlik Analizi?
Şirket yaklaşımına erişilebilirlik analizi diyor. Eksiksiz bir yazılım envanteri oluşturarak ve ardından bir güvenlik açığına giden her yolu izleyerek Endor, hangi güvenlik açıklarının hemen düzeltilmesi gerektiğini ve hangilerinin bir kenara bırakılabileceğini belirleyebileceğini söylüyor. Kullanıcılar, daha savunmasız bir paket yerine hangi açık kaynak paketini kullanabileceklerini bulmak için şu anda beta sürümünde olan bir sohbet robotu olan DroidGPT’yi kullanarak Endor Labs platformunu sorgulayabilir.
Nguyen, Endor’un gerçekten öne çıktığı noktanın personeli olduğunu ve Ar-Ge ekibinin üçte birinin doktora yapmış olduğunu söylüyor. Uzmanlaşmaya odaklanma, şirketin “bir sorunu doğru şekilde çözmek için her seferinde bir sorunu ele alma kararına” kadar uzanır, onun deyimiyle.
Bu ilk sorun, açık kaynak bağımlılıklarıydı. Nguyen, “Başka çözümlere geçmeden önce oradan başlama ve erişilebilirlik analizine büyük yatırım yapma kararı aldık” diyor. Bir sonraki odak alanlarının gizli tarama ve tedarik zinciri yönetimi/konfigürasyon duruş yönetimine öncelik verileceğini söylüyor.
Yarışmanın Dönüşü
Yarışmada dört finalist Black Hat Başlangıç Tanıtımı — Endor Labs, Gomboc, Binarly ve Mobb — iş modellerini Las Vegas’taki Mandalay Körfezi’nde bir jüri heyetine sunacaklar. (Finalistler arasında Endor Labs, 2023 RSAC Innovation Sandbox’ta da finale kalan tek kişidir.) Dark Reading’in baş editörü Kelly Jackson Higgins, 9 Ağustos Çarşamba günü saat 4’te ödüllerin sunuculuğunu yapacak: 30:00
Black Hat’a bizzat katılıyorsanız, Endor Labs sizi bir platform demosu, sevimli bir maskot ve Star Wars anahtarlık/şişe açacakları ile standına çekmek istiyor. Ayrıca, Endor Labs’ın Topgolf egzersiz sahası ve spor barındaki etkinliğine davet alabilirsiniz.
Endor’dan bahsetmişken, yağma, şirketin adının ilham kaynağına dair bir ipucu. Hayır, İncil’in geçtiği Kenan köyünden bahsetmiyor. Saul bir cadıya danıştı; bu durumda Endor, Ewoks’un yaşadığı Star Wars evrenindeki orman ayıdır. Şirketin güvenlik araştırma ekibi, Endor’daki bir araştırma istasyonundan sonra “İstasyon 9” adını bile almıştır. Nguyen’in dediği gibi, “İsmin arkasındaki hikaye basit – biz sadece kocaman inekleriz.”
Hızlı Tur
İnternet sitesi: https://www.endorlabs.com/
Kurulan: 2022
Finansman aşaması: Tohum
Şimdiye kadar toplanan toplam finansman: 25 milyon dolar
Çalışan Sayısı: 50
Şirket bir grup olsaydı, grubun adı ne olurdu ve ne tür bir grup olurdu: “Basitçe The Ewoks olarak adlandırılır ve fütüristik synth-rock çalardık.”
Pizzada ananas, evet mi hayır mı?: “Bu soruyu Slack şirketine gönderdik ve neredeyse bir iç savaşı ateşledi, ancak sonuç tam olarak 50/50’lik bir bölünmeydi, pazarlama ekibimiz bunu kıracak ve pizzada ananas konusunda EVET kararı verecek.”