Анализ состава программного обеспечения Checkmarx

Последнее поколение решений по безопасности открытого программного обеспечения

Hero Image

Анализ состава программного обеспечения Checkmarx (CxSCA)

В наши дни, помимо специально разработанного кода, в состав программного обеспечения входят компоненты с открытым исходным кодом и библиотеки сторонних производителей. Уязвимые компоненты с открытым кодом становятся мишенью хакеров, стремящихся получить доступ к конфиденциальным и ценным данным, при этом нормативные требования по защите данных постоянно ужесточаются для более качественной защиты программного обеспечения. На этом фоне стремительно растет популярность методологии активного взаимодействия DevOps, а бремя обеспечения безопасности ПО все больше возлагается на разработчиков, создающих это ПО.

Доверьтесь нам, мы – специалисты. Вам приходится маневрировать между искренним стремлением к инновациям и откровенным нежеланием попасть в ситуацию, когда имя Вашей компании будет упоминаться в новостях о «недавней утечке данных».

Именно для этого мы и создали CxSCA – оптимальное решение нового поколения для анализа компонентов программного обеспечения, помогающее разработчикам быстро поставлять безопасное ПО и обеспечивать специалистам по безопасности приложений (AppSec) понимание ситуации и контроль над нею, без которых они не смогут развивать средства устранения рисков, грозящих безопасности ПО.

Уверенная идентификация компонентов с открытым исходным кодом

CxSCA быстро сканирует кодовую базу программного обеспечения и определяет библиотеки с открытым исходным кодом, включая прямые и транзитивные зависимости, идентифицирует используемые версии, а также сопряженные с ними уязвимости и соответствующие лицензии. Архитектура CxSCA позволяет минимизировать ложные срабатывания и избежать ненужной траты времени на синтаксический анализ ошибочных результатов.

Минимизация рисков, связанных с безопасностью и лицензиями открытого программного обеспечения

Получите доступ к сводной информации по метрикам и к детальным перечням рисков для безопасности, возникающих по причине уязвимых версий компонентов с открытым исходным кодом. Визуализируйте связанные с открытым ПО потенциальные риски для интеллектуальной собственности или авторского права, обусловленные конфликтом лицензий или несоответствием лицензионным требованиям. Оценивайте потенциальные операционные риски, возникающие по причине изменения общей активности сообщества по данному компоненту.

Приоритетность уязвимостей к эксплойтам

В рамках функционала CxSCA под названием «Exploitable Path» (путь возможного внедрения эксплойта) эффективно применяются передовые технологии Checkmarx по анализу исходного кода, позволяющие идентифицировать исполняемые приложением уязвимые компоненты и сосредоточиться на устранении действительно опасных уязвимостей открытого кода. Не беспокойтесь, пользователи CxSCA получают эту возможность даже без лицензии на CXSAST.

Сокращение времени на осознанное устранение проблем

Получите подробные рекомендации по устранению проблем у команды опытных исследователей в области безопасности Checkmarx и сортируйте уязвимости исходя из проверенных возможностей эксплуатирования вредоносным кодом. Оптимизируйте свою работу при помощи автоматической визуализации пути зависимости и отфильтровывайте библиотеки, которые используются при разработке, но не при эксплуатации.

Интеграция и автоматизация для DevSecOps

Предотвращайте нарушение рабочих процессов разработки, интегрировав CxSCA по всему жизненному циклу программного обеспечения и в конвейер непрерывной интеграции и развертывания программного обеспечения: от репозиториев кода до сборки и управления выпуском. Эффективно используйте плагины, API или CxFlow – инструмент Checkmarx для сквозной автоматизации процессов DevOps – для инициирования сканирования, передачи результатов и снижения времени устранения проблем.

Упрощение операций SCA и SAST

Сделайте свою работу еще более удобной, добавив CxSCA и CxSAST как беспримерное в отрасли решение Checkmarx по SAST в свою программу безопасности приложений. CxSCA и CxSAST поддерживают единую систему управления пользователями и контроля доступа, а также единую систему создания проектов и запуска сканирования, что позволяет анализировать с помощью единого плагина как специально разработанный, так и открытый код.

Эффективное использование ведущих в отрасли исследований в области безопасности

Базу данных CxSCA, содержащую библиотеки с открытым кодом и соответствующие уязвимости, ведет исследовательская группа по безопасности Checkmarx, заслужившая широкое признание благодаря достигнутым ею основательным и последовательным результатам. Эта группа специалистов обеспечивает для CxSCA сведения о рисках, поддержку по устранению, а также эксклюзивные сведения Checkmarx об уязвимостях (на момент обнаружения еще не вошедших в общий перечень уязвимостей и рисков CVE) для расширения охвата, выходящего далеко за пределы национальной базы данных уязвимостей NVD.

Измерение рисков открытого кода и отчеты по ним

Генерируйте и экспортируйте отчеты с подробными сведениями о рисках, связанных с компонентами с открытым кодом, которые входят в состав программного обеспечения, или извлекайте данные напрямую через интеграцию и API, отслеживайте профиль риска для безопасности Вашего программного обеспечения во времени, чтобы следить за улучшениями.

Анализ открытого кода на всех языках программирования и во всех фреймворках

CxSCA анализирует наиболее популярные языки программирования и фреймворки, позволяя Вам выявлять и устранять риски, связанные с безопасностью и лицензиями открытого программного обеспечения, как в новых приложениях, так и в приложениях предыдущих версий.

Дополнительные материалы

Техническое описание

Анализ состава программного обеспечения Checkmarx

Электронная книга

«Поваренная книга» открытого кода: рецепты современной разработки приложений

Отчет

Приложение «Камера» в Android – получение контроля без разрешений

Готовы узнать больше?

Запросить демонстрационный сеанс