Log4j ve istismar edilen GoAnywhere uzaktan kod yürütme kusuru gibi yaygın ve tehlikeli güvenlik açıklarına yanıt olarak, bilgili kuruluşlar kod tabanlarını güvenlik açıkları için haftalık ve hatta günlük olarak taramaya devam ediyor. Ancak daha fazla güvenlik açığı ortaya çıkarmak, hangi sorunların düzeltileceği ve bunun nasıl yapılacağı konusunda daha fazla karar anlamına gelir.
Eitan Worcel, “Tek bir birinci taraf kod tarama raporu, düzinelerce ila yüzbinlerce bulgu içerebilir. Her güvenlik açığı için manuel bir düzeltme 30 dakikadan birkaç saate, hatta günlere kadar sürebilir ve yüzlerce veya binlerce dolara mal olur,” diyor Eitan Worcel, Bu yıl Black Hat USA Startup Spotlight Yarışmasında finalist olan Mobb’un CEO’su ve kurucu ortağı. “Daha fazla güvenlik açığını daha hızlı düzelterek, kuruluşlar daha güvenli uygulamalar üretir ve kaynakları yeni yeniliklere odaklar.”
Geliştirici, çok çeşitli statik uygulama güvenlik testi (SAST) araçlarından herhangi biriyle bir güvenlik açığı taraması yaptıktan sonra sonuçları Mobb’un platformuna yükler. “Düzeltme motoru”, kodun sorunlu bölümlerini bulmak ve en iyi uygulamalara ilişkin bilgisine dayanarak bir düzeltme önermek için yapay zekayı statik kod analizi ve deterministik güvenlik algoritmalarıyla birleştirir. Geliştirici bu düzeltmeyi kabul ettiğinde, Mobb kodu düzeltir ve gelecekteki kararları iyileştirmek için kararı yapay zekasına aktarır. Worcel, Mobb düzeltmeyi uygularken, geliştiricinin onayı olmadan bunu yapmayacağını söylüyor.
“Mobb güvenlik açıklarını bulamıyor, onları düzeltiyor” diyor.
Mobb’u Çalıştıran Nedir?
Worcel, şirketinin başarısını araştırmadan uygulamaya kadar tüm uygulama güvenliği düzeylerinde ekibin yıllara dayanan deneyimine bağlıyor. “Appsec programlarının hem kullanıcı hem de satıcı tarafında nerede ve neden yetersiz kaldığını ilk elden biliyoruz” diyor.
Ekip, geliştiricilerin nasıl düşündüğünü ve çalıştığını bildiği için, geliştiricilerin güvenebileceği ve gerçekten kullanacağı bir düzeltme motoru oluşturabileceklerini söylüyor Worcel. Araç, geliştiricilerin bu düzeltmeyi uygulayıp uygulamamaya karar vermelerine yardımcı olmak için bir düzeltme güvence puanı ve her düzeltmenin kararlılığı hakkında bilgi sağlar. “Geliştiriciler güvenlik açıklarını düzeltmek istemiyor ve bunun için iyi eğitimli değiller” diyor. “Yeni özellikler yazmak, yenilik yapmak ve onlar için o kirli düzeltme işini başka birine yaptırmak istiyorlar.”
Düzeltme yapbozunun gözden kaçabilecek bir parçası, bazı tarama sonuçlarının ideal düzeltmenin ne olacağına daha fazla ışık tutabilecek ayrıntıların eksik olmasıdır. Worcel, bu tür ayrıntıları kontrol ederek ve ardından geliştiriciden eksik olanları sağlamasını isteyerek, Mobb’un hem geliştirici katılımını hem de düzeltmenin nihai doğruluğunu geliştirdiğini söylüyor.
Black Hat USA’dan önce Mobb, oluşturulan düzeltmeleri otomatik olarak IDE’lerine veya Git depolarına kullanma yeteneği ekleyecek ve kullanıcıların daha sorunsuz bir katılım deneyimi için tarama araçlarını doğrudan Mobb’a bağlamasına olanak tanıyacak. Önümüzdeki birkaç ay içinde Mobb, mevcut düzeltmeleri artırmak, doğruluğu iyileştirmek ve ek dilleri desteklemek için yapay zeka destekli düzeltme motorunu da güncelleyecek.
Mobb nereye gidiyor?
Yarışmada dört finalist Black Hat Başlangıç Tanıtımı — Mobb, Endor Labs, Gomboc ve Binarly — iş modellerini 9 Ağustos Çarşamba günü Las Vegas’taki Mandalay Bay’de bir jüri heyetine sunacaklar. Dark Reading’in genel yayın yönetmeni Kelly Jackson Higgins, 16:30 PT’de başlayan etkinlik.
Mobb, Black Hat’taki standında Checkmarx, GitHub, Fortify ve Snyk gibi önde gelen SAST sağlayıcılarının güvenlik raporlarındaki güvenlik açıklarını nasıl düzelttiğini gösteren canlı demolara ev sahipliği yapacak. Katılımcılar ayrıca kendi Java veya Node.JS projelerini yükleyebilir ve aracı katta kendileri çalıştırabilir. Mobb ayrıca açık kaynak düzeltici Bugsy konferansta Arsenal alanında.
Şirketin oldukça dramatik olan ismi, Ucuz Roman’da kendisini “Ben Winston Wolf. Sorunları çözerim” diyerek tanıtan Winston Wolf karakterinden esinlenilmiştir. Worcel, Mobb’unun “güvenlik birikimi sorunlarını çözmek için güvenlik açıklarını düzeltme gibi kirli işler yaptığını” söylüyor.
Hızlı Tur
İnternet sitesi: https://mobb.ai/
Kurulan: Kasım 2021
Finansman aşaması: Tohum
Şimdiye kadar toplanan toplam finansman: 5.4 milyon dolar
Çalışan Sayısı: 9
Şirket bir grup olsaydı, grubun adı ne olurdu ve ne tür bir grup olurdu: “Mobb bir grup için harika bir isim, bu yüzden onu koruyacaktık ve bir rock grubu olacaktık, daha doğrusu Grunge — Pearl Jam kuralları!!!”
Pizzada ananas, evet mi hayır mı?: Evet
