Checkmarx präsentiert neue SCA-Lösung für die Analyse von Open-Source-Komponenten

Checkmarx hat seine Software Exposure Platform mit einer neuen, eigenentwickelten Engine für die Software Composition Analysis (SCA) von Open-Source-Komponenten (CxOSA) ausgestattet. CxOSA ermöglicht es Security- und DevOps-Teams, Sicherheitslücken in Open-Source-Software schnell und zuverlässig zu identifizieren, einzugrenzen und zu beheben – und so die hohe Qualität der Software und die Einhaltung der Compliance sicherzustellen.

Screenshot: Sysbus

Open-Source-Komponenten kommt in immer mehr Entwicklungsprojekten eine Schlüsselrolle zu. Damit steigt aber auch die Gefahr, die von Schwachstellen im offen Quellcode ausgeht. Daher sollten IT- und Security-Verantwortliche laut Gartner darauf achten, „in ihrer CI/CD-Pipeline auch Tools für die Software Composition Analysis zu integrieren, um die durchgängige Einhaltung der Compliance zu verifizieren, ähnlich wie bei automatisierten Tests zur Überwachung der Produktqualität.“

„Die meisten Unternehmen nutzen heute Open-Source-Software, um ihre Entwicklungsprozesse zu beschleunigen. Die Schwachstellen dieser Komponenten sind aber ein gefährlicher Angriffsvektor für externe Attacken“, erklärt Assaf Dar, Chief Product Development Officer bei Checkmarx. „CxOSA stoppt den Einsatz unsicherer Open-Source-Komponenten, ohne das Entwicklungstempo zu beeinträchtigen, und nutzt vorhandene DevOps-Schnittstellen, um Scans zu automatisieren. Damit ist die Lösung perfekt für anspruchsvolle DevSecOps-Umgebungen geeignet.“

Dr. Christopher Brennan, Regional Director DACH bei Checkmarx, ergänzt: „Gerade in regulierten Branchen wie Fintech, Versorgung oder Industrie führen viele Unternehmen aktuell Open-Source-Analysen ein, um die Sicherheit und Compliance ihrer kritischen Anwendungen zu gewährleisten. Allerdings betreiben sie die Lösungen oft isoliert – und verzahnen sie nicht mit vorhandenen SAST- oder IAST-Analysen. Unser ‚Shift-Left‘-Ansatz erlaubt es ihnen, SAST und SCA schon vor der Kompilierung nahtlos zu integrieren und die Ergebnisse zu korrelieren. So erhalten Kunden bessere Ergebnisse, minimieren die Zahl der False Positives – und stellen die Weichen für eine schnelle und zuverlässige Fehlerbehebung.“

Als einer der Marktführer im Gartner Magic Quadrant für Application Security Testing 2019 bietet Checkmarx mit der Software Exposure Platform eine branchenführende Software-Security-Lösung, die SAST, SCA, IAST und Entwickler-Trainings in einer Plattform zusammenführt und den gesamten SDLC abdeckt. Checkmarx verzeichnete 2018 weltweit ein Umsatzplus von über 60 Prozent und ist in Deutschland, Österreich und der Schweiz mit eigenen Teams vertreten. Im Mai 2018 stießen mit Andreas Oswald (Regional Sales Manager Schweiz) und Tom Zahov Zaubermann (Sales Engineer und Technical Advisor) zwei langjährige Security-Experten zum Checkmarx-Team in DACH.

Weitere Informationen: https://www.checkmarx.com/products/open-source-security-analysis