開発者中心のアプリケーション・セキュリティ・テスト(AST)ソリューションのグローバルリーダーであるCheckmarx は本日、Checkmarx サプライチェーン・セキュリティ・ソリューションの提供を開始したことを発表しました。このソリューションは、最新のアプリケーション開発ライフサイクルを通じて、潜在的に悪意のあるオープンソースパッケージを特定することができます。

Gartner®[1] によると、「2025年までに、60%の組織がサプライチェーンのセキュリティ攻撃から保護するために、ソフトウェア配信パイプラインを強化する」とのことです。

CheckmarxのCEO Emmanuel Benzaquenは以下のように述べています。「攻撃者は、これまで世界中の開発者コミュニティから信頼されてきたオープンソースソフトウェアエコシステムを悪用することで、ソフトウェアのサプライチェーンに目を向けつつあります。Checkmarxは、脅威インテリジェンス、行動インテリジェンス、機械学習モデルの包括的なスイートを活用し、コードパッケージ内のサプライチェーン攻撃を検出するための、開発者優先のアプローチを提供します。」

サプライチェーン・セキュリティのリサーチと思考のリーダーシップ

過去数ヶ月にわたり、Checkmarxのセキュリティリサーチチームは、何百もの悪意のあるオープンソースパッケージを特定しました。依存関係かく乱攻撃、タイポスクワッティング、チェーンジャッキングの3つの主要なタイプに焦点を当てたリサーチ記事をCheckmarxブログにてご覧いただけます。また、悪意のあるオープンソースパッケージの3つの新たなトレンドに焦点を当てた追加レポートは、こちらで入手できます。

Checkmarx サプライチェーン・セキュリティは、Checkmarxソフトウェアコンポジション解析 (SCA)と連携して、オープンソースプロジェクトの健全性とセキュリティの異常を特定し、コントリビュータの評判を分析し、さらにデトネーションチャンバー(独自動的、静的分析エンジン)内での分析を通じて、パッケージの動作を直接調査します。その結果、ソフトウェアサプライチェーンを全面的に把握・分析し、組織のアプリケーションセキュリティにおける大きなギャップを埋めることができます。

Checkmarxのサプライチェーンセキュリティ担当責任者Tzachi Zorenstainは以下のように述べています。 「現在市場に出回っているソリューションは、脆弱性のあるコードの検出や分析をコミュニティのフィードバックに頼っており、その背後にいる人物を分析しているわけではないという点でリアクティブ(事後対応的)です。Checkmarx サプライチェーン・セキュリティ・ソリューションは、『見知らぬ人からコードを受け取らない』という原則に基づいて構築されており、代わりにコードのコントリビュータのクレジットスコアシステムのような評判データベースを参照します。私たちの目標は、顧客の信頼を維持しながら、迅速なアプリケーション開発で企業をサポートすることです。」

最新のアプリケーション開発に対応した包括的なサプライチェーン・セキュリティ

Checkmarx サプライチェーン・セキュリティにより、組織は、重要な機能の完全なスイートを通じて、オープンソースソフトウェアを使用した最新のアプリケーション開発を安全かつセキュアに加速できます。

ヘルス＆ウェルネスとソフトウェア部品表(SBOM): オープンソースパッケージとコミュニティに関する知識をSBOMの作成と組み合わせて提供します。

悪意のあるパッケージの検出: 依存関係かく乱攻撃、タイポスクワッティング、チェーンジャッキング、その他の悪意のあるアクティビティやパッケージを検出します。

コントリビュータの評判: 組織に影響を与える可能性のあるすべてのプロジェクトにわたるコントリビュータのアクティビティを手動で分析する必要をなくすことにより、オープンソースパッケージの出所に対する信頼を回復します。

動作分析: 静的解析と動的解析を組み合わせて、コードがどのように実行されるかを観察します。Checkmarx サプライチェーン・セキュリティ・デトネーションチャンバーは、コードパッケージの詳細な分析を提供し、曖昧さを排除してステルス型の脅威を防御します。

継続的な結果処理: Checkmarxのセキュリティリサーチと脅威ハンティングに関する最新情報を常に提供し、お客様が使用する評価と脆弱性のデータベースを維持します。

Checkmarx サプライチェーン・セキュリティは現在入手可能です。詳細はこちらをご覧ください。

###

[1] Gartner「2022年の予測：ソフトウェア開発の近代化がデジタル変革の鍵」、著者: Manjunath Bhat、Mark Horvath他、2021年12月3日。Gartnerは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。無断転載を禁じます。

Copyright ⓒ Acrofan All Right Reserved