Checkmarx เปิดตัวโซลูชั่นรักษาความปลอดภัยใน Software supply chain ที่ครอบคลุมมากที่สุดในอุตสาหกรรม เพื่อช่วยองค์กรต่างๆ ป้องกันแพ็คเกจประเภท open source ที่เป็นอันตรายซึ่งตรวจไม่พบมาก่อน

ปัจจุบัน Checkmarx Software Composition Analysis (SCA) พร้อมเปิดให้ใช้งาน โซลูชันดังกล่าว เพื่อมอบความมั่นใจในการพัฒนาแอปพลิเคชันที่ทันสมัย และ ทำให้นักพัฒนาสามารถวางใจในการใช้ open source ที่ปลอดภัย

Checkmarx ผู้นำระดับโลกด้านโซลูชันการทดสอบความปลอดภัยแอปพลิเคชันที่เน้นนักพัฒนาซอฟต์แวร์ (AST: Application Security Testing) ประกาศเปิดตัวโซลูชัน Checkmarx Supply Chain Security เพื่อตรวจสอบแพ็คเกจแบบ open source ที่น่าสงสัยและมีแนวโน้มว่าจะเป็นอันตราย ตลอดกระบวนการพัฒนาแอปพลิเคชันสมัยใหม่

Gartner(R)1 กล่าวว่า “ภายในปี 2025 องค์กรในระบบราว 60% จะเสริมความแข็งแกร่งให้กับขั้นตอนการส่งมอบซอฟต์แวร์ไปจนถึงการนำขึ้นระบบสำหรับใช้งานจริง เพื่อป้องกันการโจมตีด้านความปลอดภัยใน Software supply chain”

Emmanuel Benzaquen CEO ของ Checkmarx กล่าวว่า “ผู้โจมตีหันความสนใจไปที่การโจมตี open source ที่นักพัฒนาทั่วโลกให้ความเชื่อถือ ซึ่ง open source สามารถเป็นส่วนหนึ่งใน Software supply chain ได้” และเสริมว่า “Checkmarx กำลังพัฒนาเครื่องมือตรวจจับแพ็คเกจของโค้ดที่ไม่ปลอดภัยใน Software supply chain เพื่อเสนอแก่ผู้พัฒนาซอฟต์แวร์ โดยใช้ประโยชน์จากชุดข้อมูลภัยคุกคามที่ครอบคลุม ทั้งทางพฤติกรรมและรองรับโมเดลปัญญาประดิษฐ์”

การวิจัยด้านความปลอดภัยของ Software supply chain และความเป็นผู้นำทางความคิด

ในช่วงไม่กี่เดือนที่ผ่านมา ทีมวิจัยด้านความปลอดภัยของ Checkmarx ได้ค้นพบและตรวจสอบแพ็คเกจประเภท open source ที่เป็นอันตรายหลายร้อยรายการ บทความวิจัยที่น่าสนใจ ได้แก่ การโจมตี 3 ประเภทดังนี้ – dependency confusion typosquatting และ chainjacking – มีอยู่ในบล็อกของ Checkmarx นอกจากนี้ยังสามารถอ่านรายงานเพิ่มเติมที่กล่าวถึงวิธียอดนิยมสามประการในการโจมตีแพ็คเกจ open source ได้ที่นี่

Checkmarx Supply Chain Security ที่ทำงานร่วมกับ Checkmarx Software Composition Analysis (SCA) สามารถระบุความผิดปกติด้านความปลอดภัยของแพ็คเกจและโปรเจคจำพวก open source จากการวิเคราะห์ชื่อเสียงของผู้ร่วมใช้งาน และตรวจสอบพฤติกรรมของแพ็คเกจโดยตรงผ่านการวิเคราะห์ภายใน detonation chamber (sandbox ที่ควบคุมได้ เพื่อการรันคำสั่งอันตรายที่ซ่อนมา ได้อย่างปลอดภัย) ซึ่งผลลัพธ์ที่ได้คือข้อมูลเชิงลึกในการวิเคราะห์ Software supply chain เต็มรูปแบบที่สามารถปิดช่องโหว่ที่สำคัญของแอปพลิเคชันขององค์กร

Tzachi Zorenstain หัวหน้าฝ่ายความปลอดภัย supply chain ของ Checkmarx กล่าวว่า “โซลูชันด้านความปลอดภัยปัจจุบันในตลาดอาศัยข้อมูลและความคิดเห็นจากชุมชนนักพัฒนาซอฟต์แวร์ ในการวิเคราะห์และตรวจจับโค้ดที่มีช่องโหว่ แต่ไม่สามารถสืบหาต้นตอของบุคคลที่อยู่เบื้องหลัง” และเสริมว่า “โซลูชัน Checkmarx Supply Chain Security สร้างขึ้นบนหลักการ ‘อย่ารับโค้ดจากคนแปลกหน้า’ และอ้างอิงฐานข้อมูลชื่อเสียงของเราแทน ซึ่งเหมือนกับระบบคะแนนเครดิตสำหรับผู้ให้ข้อมูลโค้ด เป้าหมายของเราคือการสนับสนุนองค์กรที่มีแอปพลิเคชันที่รวดเร็ว พัฒนาไปพร้อมกับรักษาความไว้วางใจของลูกค้า”

การรักษาความปลอดภัยแก่ Software supply chain ที่ครอบคลุมสำหรับการพัฒนาแอปพลิเคชันสมัยใหม่

Checkmarx Supply Chain Security ช่วยให้องค์กรสามารถเร่งการพัฒนาแอปพลิเคชันโดยใช้ open source ได้อย่างปลอดภัย โดยมีองค์ประกอบที่สำคัญและคำอธิบายความสามารถ ดังต่อไปนี้:

  • Health and Wellness และ Software Bill of Materials (SBOM): ให้รายละเอียดของแต่ละแพ็คเกจ open source ในโปรเจค และอธิบายความเสี่ยงที่เกี่ยวข้อง
  • Malicious Package Detection: ตรวจจับ dependency confusion, typosquatting, chainjacking ในแพ็คเกจ และเทคนิคที่เป็นอันตรายอื่นๆ
  • Contributor Reputation: การวิเคราะห์ข้อมูลและพฤติกรรมของ contributor ในทุกโปรเจคที่อาจส่งผลกระทบต่อองค์กร
  • Behavior Analysis: รวมการวิเคราะห์แบบ static และ dynamic เพื่อสังเกตว่าโค้ดทำงานอย่างไร ห้อง detonation chamber ของ Checkmarx Supply Chain Security ทำการวิเคราะห์แพ็คเกจโค้ดเชิงลึก และขจัดความคลุมเครือเพื่อป้องกันภัยคุกคามที่ซ่อนเร้น
  • Continuous Results Processing: ทำการอัพเดตอย่างต่อเนื่องให้กับระบบของ Checkmarx ซึ่งรวมถึงการวิจัยความปลอดภัย การค้นหาภัยคุกคาม การรักษาฐานข้อมูลชื่อเสียงและช่องโหว่สำหรับการใช้งานของลูกค้า

Checkmarx Supply Chain Security พร้อมให้บริการแล้ว สำหรับข้อมูลเพิ่มเติมได้ที่นี่

เกี่ยวกับ Checkmarx

Checkmarx ผลักดันการทดสอบความปลอดภัยของแอปพลิเคชันอย่างต่อเนื่อง ทำให้การรักษาความปลอดภัยเป็นไปอย่างราบรื่นและง่ายดายสำหรับนักพัฒนาทั่วโลก รวมถึงให้ความมั่นใจในการควบคุมความปลอดภัยของระบบตามความต้องการของทีม CISO และในฐานะผู้นำด้านระบบทดสอบความปลอดภัยของแอปพลิเคชัน เรามอบโซลูชันที่ครอบคลุมมากที่สุดในอุตสาหกรรม ซึ่งมีความแม่นยำ, มุมมอง และคำแนะนำที่ไม่มีใครเทียบได้ แก่ทีมพัฒนาและความปลอดภัย เพื่อลดความเสี่ยงในซอฟต์แวร์สมัยใหม่ ที่ครอบคลุมตั้งแต่ โค้ดภายใต้ลิขสิทธิ์, โอเพนซอร์ส, API ไปจนถึง Infrastructure as Code (IaC) ทำให้เรามีลูกค้ากว่า 1,600 ราย ซึ่งมีองค์กรใน Fortune 50 อยู่เกือบครึ่งหนึ่ง ให้ความไว้วางใจในเทคโนโลยีด้านความปลอดภัย, การวิจัยโดยผู้เชี่ยวชาญ และบริการระดับโลกของเรา ในการเพิ่มประสิทธิภาพและการพัฒนาอย่างรวดเร็ว

สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ Checkmarx ดูบล็อก หรือติดตามบริษัทบน LinkedIn

ที่มา: Checkmarx