Checkmarx 推出業界首創跨應用系統元件漏洞全景視圖 Checkmarx Fusion

2022年七月01日(五) PM 02:18

Checkmarx 在台唯一合作夥伴-叡揚資訊與Checkmarx 宣布 Checkmarx 全新平台 -Fusion 正式發布!Fusion 所提供的報告可完整涵蓋開放原始程式碼和自有開發程式碼的多重掃描結果關聯及依實際情境對風險進行優先排序,提供列表及拓撲圖。

開發團隊及應用安全團隊(AppSec)一直以來缺少完整的彙整Dashboard,瞭解應用系統中數十個元件的關聯、功能與漏洞,以便執行全面的AppSec測試。為滿足這個需求,以開發者為中心的應用程式安全測試解決方案領導廠商Checkmarx於今天宣布推出Checkmarx Fusion。這是一個具備情境感知的檢測引擎能全方位考量應用系統安全、元件關聯和軟體物料清單 (Software Bill of Materials, SBOM)的圖像化。該引擎補足軟體開發生命週期(Software Development Life Cycle, SDLC)各階段對於應用系統安全掃描結果提供整體視圖與建議修復之優先順序,從而修補關鍵問題。Checkmarx Fusion是Checkmarx One的一部分,是業界最全面的應用系統安全測試(AST)平臺。

Checkmarx產品長Razi Sharir表示:「開發團隊每月生產與測試數千萬行程式碼。現今新型態應用系統極為複雜性,包括原始碼、第三方元件、基礎架構程式碼(Infrastructure-as-Code, IaC)、容器化(Containers)等等,開發團隊與應用安全團隊負責人急迫需要個能視覺化了解應用系統運作間關聯、程式漏洞的情境和優先順序的輔助系統。而這恰恰是一般AST和ASOC(Application Security Orchestration and Correlation應用程式安全協調和關聯)解決方案所欠缺的。

Checkmarx Fusion對於應用系統安全漏洞提供精簡、修復建議、依嚴重等級找出優先順序等級機制,從而提高開發者的效率與組織的敏捷度。」

團隊現在提倡 「左移(Shift-Left)」,將全面的應用系統安全測試和修復納入開發週期,涵蓋第一行至最後一行程式碼的撰寫。與ASOC不同的是,Checkmarx Fusion提供了多引擎關聯掃描,並依實際情境提供風險優先排序。

Checkmarx Fusion為開發和應用安全團隊提供了以下四個核心特性:

  • Visibility:直覺且可視的圖表彙整威脅模型。該圖表包含所有軟體元素、雲資源的消耗以及彼此的關係。Checkmarx Fusion利用數次掃描中推斷出潛在的漏洞,以減少漏報的情境。
  • Correlation:透過靜態與動態結果關聯分析,找出關鍵修復點,以有效降低誤判。
  • Prioritization:根據漏洞的實際影響和風險對其進行優先排序,使開發隊點和應用安全團隊專注於解決最關鍵的問題。
  • Cloud-Native:實現雲端服務的優勢,同時洞悉UAT至Production 間(包括微服務、雲資源、容器化和API)的分析結果與其關聯性。

IDC的應用系統生命週期管理(Application Life-Cycle Management, ALM)專案的研究總監Melinda-Carol Ballou表示:「Checkmarx產品實現多種功能在單一平臺上,範圍涵蓋了SAST、SCA、IAST和IaC安全,這在競爭激烈的DevSecOps市場上是一個優勢。平臺對於開發者的關注,同時整合DevOps工具鏈和情境化的培訓,可以提高開發者績效,減輕安全測試的負擔,從而實現應用系統快速且安全交付。」

Checkmarx Fusion現在已經上市。欲知詳情,請與叡揚資訊連繫。

關於 Checkmarx

Checkmarx不斷突破應用系統安全(AppSec)測試的界限,使全球開發者輕鬆地實現無縫安全,同時也使得首席資訊安全官們(CISO)有信心實施必要的管控。作為AppSec測試領域的領先企業,Checkmarx提供了業界最全面的AST平臺—Checkmarx One,為開發者和安全團隊提供了無與倫比的準確性、覆蓋面、可視性和指引,以降低現代軟體所有元件(包括自有程式碼、開放原始碼、API和IaC)的風險。1,800多個客戶,包括財富50強中一半的企業,均信任Checkmarx的安全技術、專業研究和全球服務,從安全、快速且具規模地優化開發過程。欲知詳情,請與Checkmarx 在台唯一合作夥伴叡揚資訊聯繫。

相關文章

資安通報: Python 惡意套件-請儘速檢查與移除

近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08

新聞中心 - 叡揚資訊與 Checkmarx 助攻 關貿網路打通 SSDLC 安...

叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01

資安通報: Apache Commons Text 1.5~1.9版 發布新的高...

本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
2022/11/02

軟體供應鏈必學資安課題,如何拉近開發與資安的距離?

今年 IT 圈最熱門的話題之一,便是資本額達百億元以上的上市櫃公司須在年底前完成設立資安長及資安專責單位。以往資深資安人才本就難尋,如今更是炙手可熱。日前台灣資安主管聯盟的成立大會上,會長金慶柏曾指出,目前全台資安人才缺口超過 4 萬人!既然對外招募不容易,那麼從企業內部培養資安人才、提升人員資安意識便是另一途徑。
2022/06/17