CodeSentry zur Identifizierung von Sicherheitslücken

Anzeige

Beitrag teilen

GrammaTech präsentiert neue Version des Tools CodeSentry zur Identifizierung von Sicherheitslücken in Third-Party-Code. CodeSentry 2.0 nutzt Binäranalyse, um eine Software Bill of Materials zu erstellen, Zero-Day- und N-Day-Sicherheitslücken aufzudecken und ermittelt einen Risiko-Score für Software-Applikationen von Drittanbietern.

GrammaTech, ein führender Anbieter von Software-Werkzeugen zur statischen Codeanalyse und zum Aufdecken von Sicherheitsschwachstellen, gibt die Verfügbarkeit der Version 2.0 von CodeSentry bekannt.

Anzeige

Sicherheitsrisiken erkennen und vermeiden

CodeSentry ist eine Lösung zur Identifizierung und Vermeidung von Sicherheitsrisiken innerhalb der Software-Lieferkette. Die neue Version CodeSentry 2.0 bietet unter anderem die Möglichkeit, per Executive Dashboard einen übersichtlichen Risiko-Score für Software-Applikationen zu erhalten. Dieser basiert auf erkannten Schwachstellen, CVSS (Common Vulnerability Scoring System) und Key-Performance-Indikatoren. Auch das Reporting für Compliance- und Risk-Governance-Audits wurde nochmals erweitert.

Nach einer Untersuchung der Analysten von VDC Research besteht in Softwareentwicklungsprojekten etwa 40 % des Codes aus Open-Source- und Drittanbieter-Code. Die jüngsten Hackerangriffe auf SolarWinds, CodeCov und andere Anwendungen zeigen, dass neben eigenem Code unbedingt auch zugelieferte „Third-Party-Software“ auf Sicherheitslücken überprüft werden sollte.

Anzeige

CodeSentry 2.0 unterstützt hier, indem es im Fremdcode eine Analyse der Software auf ihre Zusammensetzung durchführt. Bekannte Schwachstellen in den detektierten Softwarekomponenten werden anzeigt und die Ergebnisse in detaillierten Software-Stücklisten (Software Bill of Materials) gespeichert. Sicherheitsanfälligkeiten werden durch CodeSentry kontinuierlich während des gesamten Software-Lebenszyklus nachverfolgt.

CodeSentry Binäranalyse

Da der Quellcode für gekaufte Anwendungen nur selten verfügbar ist, ist die Analyse des Binärcodes die einzige Alternative, um Risiken in Softwareprodukten zu erkennen.

CodeSentry 2.0 bietet hierfür folgende weitere Funktionen und Vorteile:

  • Erstellung umfassender Software-Stücklisten (Software Bill of Materials): Binär-Scans identifizieren Open-Source- und Drittanbieter-Komponenten und liefern Sicherheits-Scores, Details zur Komponentenübereinstimmung, Versionsinformationen, Speicherort und detaillierte Informationen zu Sicherheitslücken, einschließlich CVSS-Scores
  • Aufdecken von Zero- und N-Day-Schwachstellen – CodeSentry 2.0 erkennt unbekannte (Zero-Day) und bekannte (N-Day) Sicherheitslücken in identifizierten Open-Source- und Drittanbieter-Komponenten
  • Unterstützung mehrerer Software Bill of Materials-Formate einschließlich des Industriestandards CycloneDX

Weitere Informationen zu neuen Funktionen und weiteren Vorteilen finden sich auch online.

Mehr bei GrammaTech.com

 

Passende Artikel zum Thema

E-Mail-Attacken: HTML-Anhänge am gefährlichsten

Bei E-Mail-Attacken fungieren HTML-Anhänge nach wie vor als gefährlichster Dateityp. Daher setzen Angreifer mehr auf HTML-Anhänge: ihr Anteil sich innerhalb ➡ Weiterlesen

Cyber-Resilienz bewerten

Zahlreiche Cyberangriffe und Schlagzeilen über Datenschutzverletzungen erinnern Unternehmen immer wieder daran, dass die Cybersicherheit fragil ist. Das Modell des ortsunabhängigen ➡ Weiterlesen

EU Cyber-Solidaritäts-Gesetz: Aufbau eines Schutzschildes

Im April legte die Europäische Kommission einen Vorschlag für das EU-Gesetz zur Cyber-Solidarität vor, einen milliardenschweren Plan zur Stärkung der ➡ Weiterlesen

Cloud-Sicherheit bleibt die größte Sorge

Cloud-Sicherheit bereitet Cybersecurity-Experten nach wie vor die größte Sorge, wie eine Umfrage auf der diesjährigen RSA Conference offenbart. Dabei wurden ➡ Weiterlesen

XDR-Innovation: Schnellere Abwehr komplexer Bedrohungen 

Mit Cisco Extended Detection and Response (XDR) sollen Sicherheitsabläufe in herstellerübergreifenden, hybriden Umgebungen beschleunigt und vereinfacht werden. Evidenzbasierter Automatisierung priorisiert ➡ Weiterlesen

Neue KI/ML-gestützte Threat-Protection-Plattform

Proofpoint stattet seine Plattformen Aegis Threat Protection, Identity Threat Defense und Sigma Information Protection mit einer Reihe neuer Funktionen aus. Diese ➡ Weiterlesen

Microsoft kann verschlüsselte ZIP-Dateien öffnen

Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und ➡ Weiterlesen

Konjunkturschwäche verringert Cyberabwehr

Eine Umfrage unter 100 US-Cybersicherheitsexperten von HackerOne zeigte: Nach Budgetkürzungen und Entlassungen in der IT-Sicherheit gibt es mehr ungepatchte Schwachstellen. ➡ Weiterlesen