GrammaTech präsentiert neue Version des Tools CodeSentry zur Identifizierung von Sicherheitslücken in Third-Party-Code. CodeSentry 2.0 nutzt Binäranalyse, um eine Software Bill of Materials zu erstellen, Zero-Day- und N-Day-Sicherheitslücken aufzudecken und ermittelt einen Risiko-Score für Software-Applikationen von Drittanbietern.
GrammaTech, ein führender Anbieter von Software-Werkzeugen zur statischen Codeanalyse und zum Aufdecken von Sicherheitsschwachstellen, gibt die Verfügbarkeit der Version 2.0 von CodeSentry bekannt.
Sicherheitsrisiken erkennen und vermeiden
CodeSentry ist eine Lösung zur Identifizierung und Vermeidung von Sicherheitsrisiken innerhalb der Software-Lieferkette. Die neue Version CodeSentry 2.0 bietet unter anderem die Möglichkeit, per Executive Dashboard einen übersichtlichen Risiko-Score für Software-Applikationen zu erhalten. Dieser basiert auf erkannten Schwachstellen, CVSS (Common Vulnerability Scoring System) und Key-Performance-Indikatoren. Auch das Reporting für Compliance- und Risk-Governance-Audits wurde nochmals erweitert.
Nach einer Untersuchung der Analysten von VDC Research besteht in Softwareentwicklungsprojekten etwa 40 % des Codes aus Open-Source- und Drittanbieter-Code. Die jüngsten Hackerangriffe auf SolarWinds, CodeCov und andere Anwendungen zeigen, dass neben eigenem Code unbedingt auch zugelieferte „Third-Party-Software“ auf Sicherheitslücken überprüft werden sollte.
CodeSentry 2.0 unterstützt hier, indem es im Fremdcode eine Analyse der Software auf ihre Zusammensetzung durchführt. Bekannte Schwachstellen in den detektierten Softwarekomponenten werden anzeigt und die Ergebnisse in detaillierten Software-Stücklisten (Software Bill of Materials) gespeichert. Sicherheitsanfälligkeiten werden durch CodeSentry kontinuierlich während des gesamten Software-Lebenszyklus nachverfolgt.
CodeSentry Binäranalyse
Da der Quellcode für gekaufte Anwendungen nur selten verfügbar ist, ist die Analyse des Binärcodes die einzige Alternative, um Risiken in Softwareprodukten zu erkennen.
CodeSentry 2.0 bietet hierfür folgende weitere Funktionen und Vorteile:
- Erstellung umfassender Software-Stücklisten (Software Bill of Materials): Binär-Scans identifizieren Open-Source- und Drittanbieter-Komponenten und liefern Sicherheits-Scores, Details zur Komponentenübereinstimmung, Versionsinformationen, Speicherort und detaillierte Informationen zu Sicherheitslücken, einschließlich CVSS-Scores
- Aufdecken von Zero- und N-Day-Schwachstellen – CodeSentry 2.0 erkennt unbekannte (Zero-Day) und bekannte (N-Day) Sicherheitslücken in identifizierten Open-Source- und Drittanbieter-Komponenten
- Unterstützung mehrerer Software Bill of Materials-Formate einschließlich des Industriestandards CycloneDX
Weitere Informationen zu neuen Funktionen und weiteren Vorteilen finden sich auch online.
Mehr bei GrammaTech.com