fbpx

צ'קמרקס הישראלית מציגה פתרון להאצת תיקון חולשות בקוד פתוח

צ'קמרקס (Checkmarx), המובילה העולמית בפתרונות אבטחת תוכנה עבור DevOps, הכריזה על השקת Checkmarx SCA (בקצרה: CxSCA). הפתרון החדש של החברה, נשען על היכולות של צ'קמרקס לניתוח קוד המקור, המובילות מסוגן בתעשייה, ועל יכולות האוטומציה של החברה, כדי להעצים את צוותי האבטחה והפיתוח ולאפשר להם לזהות בקלות חולשות בקוד פתוח, המהוות את הסיכון הגדול ביותר. בכך מאפשרת למפתחים להתמקד ולתעדף את מאמצי תיקון החולשות בהתאם לממצאי הניתוח. שימוש ב-CxSCA מקצר באופן דרמטי את משך הזמן מזיהוי החולשה עד לפתרונה ומגדיל את הפרודוקטיביות הכוללת של המפתחים.

הגישות הקיימות לאבטחת קוד פתוח מפיקות לעתים קרובות דו"חות ארוכים עם ממצאי חולשות עמוסים באי-דיוקים, מה שמקשה על המפתחים להחליט היכן למקד את המאמצים ותשומת הלב. CxSCA משפר את התהליך בעזרת יכולות ייחודיות של מיון אוטומטי, הפקת ממצאים ברמת הדיוק הגבוהה ביותר, ושליחת הממצאים היישר למפתחים. מצוידים בתובנות האלו, צוותי הפיתוח יכולים לתעדף את מאמצי התיקון על סמך רמת הסיכון של החולשות שזוהו ולהאיץ את תהליכי התיקון על מנת לספק תכנה באיכות גבוהה, בטוחה יותר ומהר יותר.

CxSCA מספק מודעות, נראות ויכולות תעדוף לסיכוני האבטחה בקוד הפתוח ברמה מובילה בתעשייה, תוך ייעול עבודתם של צוותי ה-DevOps וה-AppSec (אבטחת אפליקציות). ארגונים המשלבים את CxSCA עם בדיקת תוכנה סטטית(SAST) של צ'קמרקס (CxSAST), יכולים לאבטח את הקוד על ידי סריקה ממוקדת וסריקת קוד פתוח שמספק פתרון אחד מלוכד ורב עוצמה ומהווה ניהול ריכוזי ליצירה ולסריקות של הפרויקט, לרבות יכולת להרצת סריקות אוטומטיות במאגרי קוד פתוח כגון GitHub, GitLab, BitBucket ואחרים.

על פי חברת המחקר גרטנר, "השילוב של בדיקות תוכנה סטטית (SAST) וניתוח הרכב התוכנה (SCA) מסייע להשיג תוצאות ברמת אמינות גבוהה. הוספת יכולות SCA לחבילת כלי הבדיקה הקיימים מפשטת את ההתקנה, האינטגרציה, הניהול והתחזוקה."

"בזמן שחולשות בקוד הפתוח ממשיכות להתרבות, יותר ויותר ארגונים מעבירים למפתחים את האחריות לאבטחת היישום. עובדה זאת יוצרת צורך מידי בפתרונות ניתוח הרכב תוכנה (SCA) חדשניים שיאיצו את מחזורי תיקון החולשות עבור המפתחים". "CxSCA של צ'קמרקס מאפשר לצוותי פיתוח להתמודד עם חולשות בקוד הפתוח בשלב מוקדם יותר של תהליך פיתוח התוכנה (SDLC) ולצמצם את התהליכים הידניים תוך הקטנת שיעור הזיהויים השגויים (false positives) ורעשי הרקע. התוצאה היא יצירה מהירה יותר של תכנה מאובטחת, באופן אוטומטי יותר ובסקייל".

ניר לבני, סמנכ"ל מוצרים בצ'קמרקס

אפשר להשתמש ב-CxSCA כמוצר עצמאי או כחלק מפלטפורמת אבטחת התוכנה המורחבת של צ'קמרקס הכוללת גם SAST(בדיקות תוכנה סטטית), IAST (בדיקות תוכנה אינטראקטיבית) והדרכה ומודעות לאבטחת אפליקציות (AppSec) מובנת עבור מפתחים. הפלטפורמה הרחבה מספקת לצוותי פיתוח גישה אחת מלוכדת לניהול אבטחת היישומים.

מאפיינים נוספים של CxSCA כוללים:

  • בסיס נתונים רחב של ספריות וחולשות קוד פתוח: גישה לבסיס נתונים בלעדי של CxSCA שנוצר ומתוחזק על ידי צוות המחקר והאבטחה של צ'קמרקס המכיל ספריות וחולשות קוד פתוח, כולל כאלו שלא היה להן CVE בעת גילוי החולשה. בסיס הנתונים מספק מודעות גבוהה יותר לאבטחה וסיכונים, מעל ומעבר ל-National Vulnerability Database (NVD).
  • אינטגרציה המשכית ב-DevOps: יCxSCA משתלב בקלות ב-SDLC ומספק תובנות רלוונטיות לגבי חולשות בקוד הפתוח, המאפשרות לנקוט פעולה לתיקון החולשה, לרבות עם ההנחיות שמייעלות את תהליך העבודה של המפתחים ומאיצות את זמני ההגשה.
  • סקלביליות וגמישות: מודל הפריסה הגמיש והמאובטח של CxSCA, המבוסס על תוכנה כשירות (SaaS), מעניק למפתחים את הסקלביליות והמהירות הנחוצה למילוי הדרישות התובעניות ביותר. הודות לכך, הם יכולים להתמקד בפיתוח תכנה בטוחה במקום להקדיש זמן לניהול תשתיות.
טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן