Identifiez les failles et les vulnérabilités dans les binaires de vos logiciels Tiers
CodeSentry amène une proposition unique sur le marché des solutionsSCA car cette analyse est réalisée directement sur les binaires, sans nécessité de disposer des sources. Grâce à CodeSentry, il est maintenant possible aux responsables de la sécurité des logiciels d’identifier et de maîtriser les risques liés aux codes tiers et leurs vulnérabilités, enfouis dans leurs applications, et ce, tout au long du cycle de vie de leurs logiciels. Avec CodeSentry, GrammaTech renforce sa position de fournisseur de choix dans les environnements DevSecOps.
« L’utilisation de codes tiers notamment OpenSource pour accélérer la mise sur le marché des produits est une pratique très largement répandue », a déclaré Mike Dager, PDG de GrammaTech. « La plupart des organisations reconnaissent désormais les risques de sécurité que ces codes tiers posent pour leurs applications et leurs activités, ainsi que la nécessité de réaliser des analyses de composition logicielle telle que celle réalisée par CodeSentry, permettant d’inspecter les binaires avec une précision inégalée. »
Ce besoin d’examiner plus minutieusement les codes tiers a été amplifié par des attaques de haut niveau exploitant des vulnérabilités open source. Selon Gartner, « les risques liés à la chaîne d’approvisionnement des logiciels ont attiré une attention accrue. Un nombre croissant d’incidents ont été observés dans lesquels du code malveillant a été intentionnellement introduit par des attaquants cherchant à exploiter la confiance qui existe dans la communauté open-source. »
Étant donné que les logiciels tiers peuvent être fournis sous forme de sources et de binaires, des composants sous-jacents peuvent être inconnus de l’organisation qui les utilise. Ces codes enfouis peuvent être d’origine Open Source, commerciale (COTS) ou sous contrat. CodeSentry peut détecter les composants et les vulnérabilités qui leur sont associés, y compris les composants réseau, les composants GUI ou les couches d’authentification. Il utilise une analyse binaire approfondie pour créer une nomenclature logicielle détaillée (SBOM – Software Bill Of Materials) et une liste complète des vulnérabilités connues.
« Les outils d’analyse SCA de première génération s’appuient sur le code source pour identifier les composants tiers,ce qui les rend bien souvent inutilisables sur les logiciels livrés sous forme binaire », pour Vince Arneja, Directeur Produits de GrammaTech. « La capacité de CodeSentry à analyser les binaires pour en créer une nomenclature logicielle exhaustive élimine cette problématique et permet aux entreprises de réduire de manière proactive leur surface d’attaque. »
Afin de pouvoir réaliser ce niveau d’analyse binaire, CodeSentry utilise plusieurs algorithmes en instance de brevet pour détecter les composants logiciels dans les applications avec un niveau de rappel et de sophistication inégalé, y compris les chaînes utilisées dans le traitement du langage naturel. La technologie unique de GrammaTech permet à CodeSentry de mapper le désassemblage des composants sur des vecteurs multidimensionnels et de les comparer aux vecteurs dérivés des composants.
A propos, de GrammaTech
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu’elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :