אבטחת מידע ארגונית
צ'קמרקס משיקה פתרון חדש לניתוח הרכב תוכנה
CxSCA נשען על יכולות האוטומציה של צ'קמרקס מהמובילות בתעשייה, ומאפשר למפתחים לאתר, לתעדף ולתקן חולשות קריטיות בקוד הפתוח בשלב מוקדם יותר ומהר יותר.
צ'קמרקס הכריזה על השקת Checkmarx SCA, פתרון חדש של החברה, המוצע כתוכנה כשירות (SaaS) לניתוח הרכב התוכנה. CxSCA נשען על היכולות של צ'קמרקס לניתוח קוד המקור, המובילות מסוגן בתעשייה, ועל יכולות האוטומציה של החברה, כדי להעצים את צוותי האבטחה והפיתוח ולאפשר להם לזהות בקלות חולשות בקוד פתוח, המהוות את הסיכון הגדול ביותר. בכך מאפשרת למפתחים להתמקד ולתעדף את מאמצי תיקון החולשות בהתאם לממצאי הניתוח. שימוש ב-CxSCA מקצר באופן דרמטי את משך הזמן מזיהוי החולשה עד לפתרונה ומגדיל את הפרודוקטיביות הכוללת של המפתחים.
הגישות הקיימות לאבטחת קוד פתוח מפיקות לעתים קרובות דו"חות ארוכים עם ממצאי חולשות עמוסים באי-דיוקים, מה שמקשה על המפתחים להחליט היכן למקד את המאמצים ותשומת הלב. CxSCA משפר את התהליך בעזרת יכולות ייחודיות של מיון אוטומטי, הפקת ממצאים ברמת הדיוק הגבוהה ביותר, ושליחת הממצאים היישר למפתחים. מצוידים בתובנות האלו, צוותי הפיתוח יכולים לתעדף את מאמצי התיקון על סמך רמת הסיכון של החולשות שזוהו ולהאיץ את תהליכי התיקון על מנת לספק תכנה באיכות גבוהה, בטוחה יותר ומהר יותר.
CxSCA מספק מודעות, נראות ויכולות תעדוף לסיכוני האבטחה בקוד הפתוח ברמה מובילה בתעשייה, תוך ייעול עבודתם של צוותי ה-DevOps וה-AppSec (אבטחת אפליקציות). ארגונים המשלבים את CxSCA עם בדיקת תוכנה סטטית(SAST) של צ'קמרקס (CxSAST), יכולים לאבטח את הקוד על ידי סריקה ממוקדת וסריקת קוד פתוח שמספק פתרון אחד מלוכד ורב עוצמה ומהווה ניהול ריכוזי ליצירה ולסריקות של הפרויקט, לרבות יכולת להרצת סריקות אוטומטיות במאגרי קוד פתוח כגון GitHub, GitLab, BitBucket ואחרים.
על פי חברת המחקר גרטנר, "השילוב של בדיקות תוכנה סטטית (SAST) וניתוח הרכב התוכנה (SCA) מסייע להשיג תוצאות ברמת אמינות גבוהה. הוספת יכולות SCA לחבילת כלי הבדיקה הקיימים מפשטת את ההתקנה, האינטגרציה, הניהול והתחזוקה." 1
"בזמן שחולשות בקוד הפתוח ממשיכות להתרבות, יותר ויותר ארגונים מעבירים למפתחים את האחריות לאבטחת היישום. עובדה זאת יוצרת צורך מידי בפתרונות ניתוח הרכב תוכנה (SCA) חדשניים שיאיצו את מחזורי תיקון החולשות עבור המפתחים", אמר ניר לבני, סמנכ"ל מוצרים בצ'קמרקס. "CxSCA של צ'קמרקס מאפשר לצוותי פיתוח להתמודד עם חולשות בקוד הפתוח בשלב מוקדם יותר של תהליך פיתוח התוכנה (SDLC) ולצמצם את התהליכים הידניים תוך הקטנת שיעור הזיהויים השגויים (false positives) ורעשי הרקע. התוצאה היא יצירה מהירה יותר של תכנה מאובטחת, באופן אוטומטי יותר ובסקייל".
אפשר להשתמש ב-CxSCA כמוצר עצמאי או כחלק מפלטפורמת אבטחת התוכנה המורחבת של צ'קמרקס הכוללת גם SAST(בדיקות תוכנה סטטית), IAST (בדיקות תוכנה אינטראקטיבית) והדרכה ומודעות לאבטחת אפליקציות (AppSec) מובנת עבור מפתחים. הפלטפורמה הרחבה מספקת לצוותי פיתוח גישה אחת מלוכדת לניהול אבטחת היישומים.