Reachability работи за защита на веригата за доставки на софтуера

Убежище Добавен е автоматичен достъп до уязвимости към възможностите на неговата платформа за сигурност на веригата за доставка на софтуер.

С възможността да се съсредоточат само върху коригирането на това, което има значение, професионалистите по сигурността могат да сложат край на потока от фалшиви положителни резултати, а разработчиците могат да въвеждат иновации с по-голяма скорост и увереност.

Това ново въведение, съчетано със способността на Phylum да блокира и приоритизира рисковете с отворен код, предоставя на организациите цялостна сигурност на веригата за доставка на софтуер.

Уязвимостите представляват ясен и настоящ риск за целостта на веригата за доставка на софтуер, но огромното количество шум и фалшиви положителни резултати, които идват с традиционните методи за откриване, изтощават ресурси и оставят организациите претоварени.

“Управлението на уязвимостите е разочароващо и постоянно предизвикателство за екипите по сигурността повече от десетилетие. Phylum автоматизира отговора на въпроса “Всъщност ли извиквам кода, който причинява тази уязвимост?” Адресирането на този въпрос намалява фалшивите положителни проблеми с уязвимостта за клиенти с 90% или повече и позволява на екипите за сигурност да ангажират своите екипи за разработка по проблемите на веригата за доставки, които наистина имат значение.“ Питър МорганСъосновател и ръководител на отдела за убежище.

Повечето подходи за управление на уязвимостите не вземат предвид нюансите на библиотеките с отворен код. В библиотечния код използваните части от библиотеката са толкова важни, колкото името и версията на пакета, и неотчитането на тези данни води до висок процент на фалшиви положителни резултати.

Например една организация може да използва пакет за подписване на пакети за изграждане, които съдържат известна уязвимост на Heartbleed. Но тъй като организацията го използва само за подписване на код и не използва частта от OpenSSL, където съществува тази уязвимост, тя не може да бъде достъпна. Phylum Platform разпознава този нюанс и съответно уведомява потребителя.

Организациите, използващи Phylum, спестяват ценно време на разработчици, правят по-критични корекции и подобряват цялостната сигурност, като се възползват от:

  • Дълбокият анализ на източника и проследяването на обажданията идентифицират кои уязвимости засягат кои проекти и кои не.
  • Графичен анализ, който проследява повикванията между пакетите, за да даде приоритет на най-въздействащите грешки, които трябва да бъдат коригирани.
  • Автоматично и непрекъснато прилагане на правилата, което предоставя предупреждения, ако функционалността на уязвимостта се промени поради нови нужди за разработка.

Тъй като софтуерните проекти се състоят от 70% до 90% код с отворен код, Phylum първо блокира атаки във веригата за доставки на софтуер, които се опитват да влязат в среди от пакети с отворен код. Това облекчава тежестта от необходимостта от извършване на основен ремонт, след като изходният код е изграден.

След това Vulnerability Access автоматично непрекъснато наблюдава вашия код, ако настъпят промени в разработката, пакета или автора, които създават нови уязвимости.

Платформата за сигурност на веригата за доставки на софтуер на Phylum е специално проектирана да отговори на текущите и развиващи се предизвикателства за сигурността на веригата за доставки на софтуер. Без значение от зрелостта на софтуера appsec, Phylum е проектиран да посреща непосредствените нужди и да се разшири с организация, за да отговори на бъдещи нужди.