EVERGREEN, Colo., 1 Aralık 2022 — şube, Yazılım Tedarik Zinciri Güvenliği Şirketi, bugün yazılım tedarik zinciri güvenlik platformu yeteneklerine Otomatik Güvenlik Açığı Ulaşılabilirliği özelliğini eklediğini duyurdu. Yalnızca önemli olanı düzeltmeye odaklanma yeteneği ilesgüvenlik profesyonelleri yanlış pozitifler seline son verebilir ve geliştiriciler daha hızlı ve güvenle yenilik yapabilir. Phylum’un açık kaynak kod risklerini bloke etme ve önceliklendirme yeteneği ile birleşen bu yeni tanıtım, kuruluşlara piyasada bulunan en kapsamlı yazılım tedarik zinciri güvenliğini sağlıyor.
Güvenlik açıkları, yazılım tedarik zincirinin bütünlüğü için açık ve mevcut bir tehlikeyi temsil eder, ancak geleneksel algılama yöntemleriyle gelen büyük miktarda gürültü ve yanlış pozitifler, kaynakları tüketir ve kuruluşları bunalmış halde bırakır.
“Güvenlik açığı yönetimi, on yılı aşkın bir süredir güvenlik ekipleri için sinir bozucu ve sürekli bir zorluk olmuştur. Phylum, ‘Bu güvenlik açığını tetikleyen kodu gerçekten çağırıyor muyum?’ sorusunun yanıtını otomatikleştirdi. Phylum’un kurucu ortağı ve başkanı Peter Morgan, “Bu soruyu ele almak, müşterinin yanlış pozitif güvenlik açığı sorunlarını %90 veya daha fazla oranda azaltır ve güvenlik ekiplerinin geliştirme ekipleriyle gerçekten önemli olan tedarik zinciri sorunlarıyla ilgilenmesini sağlar” dedi.
Güvenlik açığı yönetimi yaklaşımlarının çoğu, açık kaynak kitaplıklarının nüanslarını hesaba katmaz. Kitaplık kodunda, kitaplığın kullanılan bölümleri en az paket adı ve sürüm kadar önemlidir ve bu verilerin hesaba katılmaması astronomik derecede yüksek bir yanlış pozitif oranıyla sonuçlanır. Örneğin, bir kuruluş bilinen bir Heartbleed güvenlik açığı içeren yapı paketlerini imzalamak için bir paket kullanabilir. Ancak kuruluş bunu yalnızca kod imzalamak için kullandığından ve OpenSSL’nin bu güvenlik açığının bulunduğu bölümünü kullanmadığından, erişilemez. Phylum Platformu bu nüansı fark eder ve kullanıcıyı buna göre bilgilendirir.
Phylum’u kullanan kuruluşlar, değerli geliştirici zamanından tasarruf eder, daha kritik düzeltmeler yapar ve aşağıdakilerden yararlanarak genel güvenlik duruşunu iyileştirir:
- Hangi güvenlik açıklarının projeleri etkileyip hangilerinin etkilemediğini belirleyen derin kaynak analizi ve arama izleme.
- Düzeltilmesi gereken en etkili hatalara öncelik vermek için paketler arası çağrı yollarını tanımlayan grafik destekli analiz.
- Güvenlik açığı işlevleri yeni geliştirme ihtiyaçları nedeniyle değişirse uyarı sağlayan otomatik, sürekli ilke uygulaması.
Yazılım projeleri %70 ila %90 arasında açık kaynak kodundan oluştuğundan, Phylum öncelikle açık kaynak paketlerinden ortamlara girmeye çalışan yazılım tedarik zinciri saldırılarını engeller. Bu, kaynak kodu oluşturulduktan sonra kapsamlı iyileştirme yapma yükünü hafifletir. Otomatik Güvenlik Açığı Erişilebilirliği daha sonra herhangi bir geliştirme, paket veya yazar değişikliğinin yeni güvenlik açıklarıyla sonuçlanması durumunda kodu sürekli olarak izler.
Phylum Yazılım Tedarik Zinciri Güvenliği Platformu, kalıcı ve gelişen yazılım tedarik zinciri güvenliği zorluklarını ele almak için özel olarak oluşturulmuştur. Bir appsec programının olgunluk aşamasından bağımsız olarak Phylum, acil ihtiyaçları karşılamak ve gelecekteki ihtiyaçları karşılamak için bir kuruluşla ölçeklendirmek üzere tasarlanmıştır.
Otomatik Güvenlik Açığı Ulaşılabilirliği, SaaS ve Şirket İçi aracılığıyla 2023’ün ilk çeyreğinde kullanıma sunulacaktır. Demo rezervasyonu yapın burada.
filum hakkında
Phylum, kod evrenini güvence altına alma görevinde. Platformu, yeni riskleri engellemek, mevcut sorunlara öncelik vermek ve kullanıcıların yalnızca güvendikleri açık kaynak kodunu kullanmalarına izin vermek için yazılım tedarik zinciri güvenliğini otomatikleştirir. Şirket, ABD İstihbarat Topluluğu ve ticari sektörlerde onlarca yıllık deneyime sahip kariyer güvenlik araştırmacıları ve geliştiricilerinden oluşan bir ekip tarafından kurulmuştur. Phylum, Black Hat 2022 Innovation Spotlight Competition’ın galibi oldu ve Cyber Defence Magazine tarafından En İyi Infosec Yenilikçisi seçildi. adresinde daha fazla bilgi edinin https://phylum.iookuman Phylum Araştırma Bloguve bizi takip edin LinkedIn ve twitter.
