Checkmarx Software
Composition Analysis

Open-Source-Security einer neuen Generation

Hero Image

Checkmarx Software Composition Analysis (CxSCA)

Moderne Software besteht zum Teil aus Open-Source-Komponenten und Third-Party-Libraries und zum Teil aus eigenentwickeltem Code. Hacker attackieren häufig angreifbare Open-Source-Komponenten, um Zugriff auf sensible und wertvolle Daten zu erhalten. Gleichzeitig nehmen Gesetzgeber und Brancheninitiativen die Entwickler mit zunehmend strengen Datenschutzvorgaben in die Pflicht, um die Einhaltung durchgängiger Best Practices im Bereich Secure Coding durchzusetzen. Und mit dem Siegeszug von DevOps verlagert sich die Verantwortung für die Sicherheit der Software immer mehr auf die Schultern der Entwickler.

Wir wissen, vor welchem Dilemma Sie stehen: Auf der einen Seite möchten Sie innovativ und kreativ arbeiten. Auf der anderen wollen Sie nicht riskieren, dass Ihr Unternehmen wegen Datenschutzverstößen in die Schlagzeilen gerät.

Deshalb haben wir für Sie die zuverlässigste Next-Gen-SCA-Lösung auf dem Markt entwickelt: CxSCA hilft Entwicklerteams, sichere Software schneller zur Marktreife zu führen – und gibt Ihren AppSec-Experten alle Informationen und Werkzeuge an die Hand, die sie für ein nachhaltiges Risikomanagement benötigen.

Zuverlässige Lokalisierung von Open Source

CxSCA scannt die Codebasis Ihrer Software und lokalisiert schnell und zuverlässig alle enthaltenen Open-Source-Libraries – inklusive direkter und indirekter Abhängigkeiten. Die Lösung erkennt dabei auch, welche Versionen Sie im Einsatz haben, und weiß, welche Security- und Lizenzierungsrisiken damit einhergehen. Um eine rasche Auswertung zu ermöglichen, minimiert CxSCA gezielt die Zahl der False Positives.

Umgehen Sie Security- und Lizenzierungsfallen

CxSCA stellt Ihnen detaillierte Kennzahlen und angereicherte Informationen zum Risikopotenzial Ihrer Open-Source-Komponenten zur Verfügung. Sie zeigt Ihnen auch, welche Gefahren die Open-Source-Lizenzierung mit Blick auf Ihre Urheberrechte birgt. Und sie hilft Ihnen, das Risikopotenzial bei der Zusammenarbeit mit der Open-Source-Community korrekt einzuschätzen – etwa, welche Folgen es für Sie hätte, wenn eine Open-Source-Version von den Autoren nicht weiter gepflegt werden sollte.

Priorisieren Sie Schwachstellen mit bekannten Exploits

Das Feature „Exploitable Path” nutzt die marktführende Source-Analysis-Technologie von Checkmarx, um angreifbare Komponenten in der Anwendung zu identifizieren. So können Sie sich ganz auf die Behebung sicherheitsrelevanter, besonders gefährlicher Schwachstellen konzentrieren. Und keine Sorge: Als CxSCA-Kunde können Sie dieses Feature ohne Aufpreis nutzen – auch dann, wenn Sie CxSAST nicht im Einsatz haben.

Schnelle und intelligente Behebung

Unser erfahrenes Security-Research-Team steht Ihnen bei der Schließung von Sicherheitslücken zur Seite und priorisiert dabei gezielt Schwachstellen, für die nachweislich ein Exploit existiert. Für besonders zuverlässige Ergebnisse können Sie die Pfadabhängigkeiten automatisch visualisieren und Libraries, die nur für die Entwicklung (aber nicht für die Produktion) benötigt werden, automatisch ausblenden.

Integration und Automatisierung in DevSecOps-Umgebungen

Um die Workflows Ihrer Entwickler nicht zu stören, fügt sich CxSCA nahtlos in den SDLC und in Ihre CI/CD-Pipelines ein – vom Code-Repository bis zum Troubleshooting. Nutzen Sie Plug-ins, APIs oder unsere Automatisierungslösung CxFlow, um Scans anzustoßen, Ergebnisse zu teilen und die Fehlerbehebung nachhaltig zu beschleunigen.

Stellen Sie die Weichen für einen reibungslosen SCA- und SAST-Betrieb

Kombinieren Sie CxSCA für optimale Ergebnisse mit unserer marktführenden SAST-Lösung CxSAST. CxSCA und CxSAST unterstützen beide ein leistungsfähiges, durchgängiges User-Management und eine starke Access Control sowie ein einheitliches Projekt-Management und simultane Scans. Auf diese Weise können Sie eigenentwickelten und Open-Source-Code über die gleiche Lösung analysieren.

Profitieren Sie von einem der führenden Security-Research-Teams

Die in CxSCA integrierte Library- und Vulnerability-Datenbank wird von unserem Software-Security-Research-Team gepflegt, das branchenweit einen ausgezeichneten Ruf genießt. Dieses Team hinterlegt CxSCA mit detaillierten Risiko-Informationen, umfangreichen Tipps zur Behebung und Checkmarx-exklusiven Schwachstellen (für die es zum Zeitpunkt der Entdeckung noch keine CVE gibt) – und geht damit deutlich über den Umfang der NVD hinaus.

Erfassen und dokumentieren Sie die Gefahren von Open Source

Generieren und exportieren Sie detaillierte Berichte zum Risikopotenzial der von Ihnen verwendeten Open-Source-Komponenten, oder extrahieren Sie relevante Daten direkt über Schnittstellen und APIs. So können Sie Ihr Risikoprofil durchgehend im Blick behalten und Verbesserungen in der Software-Security tracken.

Analysieren Sie Open Source über alle gängigen Sprachen und Frameworks hinweg

CxSCA analysiert alle gängigen Programmiersprachen und Frameworks, und macht es Ihnen auf diese Weise leicht, Security- und Lizenzierungsrisiken in bestehenden und neuen Anwendungen zuverlässig zu identifizieren.

Mehr Informationen

Datenblatt

Checkmarx Software Composition Analysis

Blog

The Open Source Cookbook: A Baker’s Guide to Modern Application Development

Whitepaper

Android Camera App – Gaining Control Without Permissions

Möchten Sie mehr erfahren?

Demo anfordern