CodeSentry V3
ISIT
Toulouse, le 10/01/2022 : GrammaTech, leader dans le domaine des outils d’analyse statique de sécurité des applications (SAST – Static Application Security Testing) et distribué en France par ISIT, annonce la version 3.0 de CodeSentry, sa solution d’analyse statique.
CodeSentry se classe dans la gamme des outils d’Analyse de Composition Logicielle ou Software Composition Analysis (SCA) en anglais, technique permettant de dresser l’inventaire des codes Tiers contenus dans une application et d’en connaitre leurs vulnérabilités. Avec l’augmentation de l’utilisation de composants Open Source dans les développements, le défi pour les organisations et les responsables de la sécurité, est de connaitre ce qu’il y a réellement dans une application. La solution CodeSentry amène une proposition unique sur le marché dans le domaine des solutions SCA car elle permet cette analyse directement sur les binaires, sans nécessité de disposer des codes sources. Il est ainsi possible d’identifier et de maitriser les risques et les vulnérabilités liés aux codes tiers enfouis dans les applications, et ce, tout au long du cycle de vie des logiciels. Cela permet également aux industriels de maitriser leur chaine d’approvisionnement logicielle et de s’assurer de la qualité et de la sécurité des composants logiciels qui leur sont livrés.
CodeSentry se classe dans la gamme des outils d’Analyse de Composition Logicielle ou Software Composition Analysis (SCA) en anglais, technique permettant de dresser l’inventaire des codes Tiers contenus dans une application et d’en connaitre leurs vulnérabilités. Avec l’augmentation de l’utilisation de composants Open Source dans les développements, le défi pour les organisations et les responsables de la sécurité, est de connaitre ce qu’il y a réellement dans une application. La solution CodeSentry amène une proposition unique sur le marché dans le domaine des solutions SCA car elle permet cette analyse directement sur les binaires, sans nécessité de disposer des codes sources. Il est ainsi possible d’identifier et de maitriser les risques et les vulnérabilités liés aux codes tiers enfouis dans les applications, et ce, tout au long du cycle de vie des logiciels. Cela permet également aux industriels de maitriser leur chaine d’approvisionnement logicielle et de s’assurer de la qualité et de la sécurité des composants logiciels qui leur sont livrés.
CodeSentry est basé sur une technologie révolutionnaire d'analyse de code binaire et d'apprentissage automatique (machine learning) développés par GrammaTech, et offre des avantages clés :
- Facilité d'utilisation grâce à son interface graphique permettant l’import des binaires natifs, les fichiers zip ou tout autres types d’archives. Les binaires ne nécessitent pas d'informations de débogage et plusieurs architectures processeurs sont supportés.
- Permet d’approuver ou rejeter des composants logiciels en fonction du risque
- Analyse du code exécutable et non les sources. Cette approche réduit considérablement le nombre de faux positifs dus au code superflu présent dans les builds comme par exemple des composants (librairies) exclus en raison de configurations de build spécifiques.
- Génère la SBOM (Software Bill Of Material) et identifie les vulnérabilités N-Day (CVE / CVSS.)
- Tableau de bord des risques détectés et guide de remédiation.
La version v3.0 de CodeSentry inclut les nouvelles fonctionnalités et améliorations suivantes :
- Intégration de VulnDB : Description enrichie des vulnérabilités détectée, comprenant des liens vers des correctifs, des mises à niveau de composants et des informations de correction
- Détection 0-Day : Nouveau Zero-Day Shallow Scan(CWE-676)
- Service d'attributs de sécurité : Utilisation des attributs ASLR, SafeSEH (X86), Fortify_Source, …
- Prise en charge de formats de fichiers d'archive supplémentaires : MacOS DMG (Extended), pax, Symlinks
- …
CodeSentry est d’ores et déjà disponible pour évaluation
À propos de GrammaTech :
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu'elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
A propos d’ISIT : Cybersec & Safety Partners
