GrammaTech présente CodeSentry 2.0
ISIT
Toulouse, le 29/06/2021 : GrammaTech, leader dans le domaine des outils test statique de sécurité des applications (SAST – Static Application Security Testing) et distribué en France par ISIT a annoncé la dernière version de CodeSentry qui réduit les risques de sécurité dans la chaîne d'approvisionnement logicielle tels que ceux exploités lors des récentes attaques de SolarWinds, CodeCov et autres applications. CodeSentry permet l’analyse rapide des logiciels tiers ou commerciaux afin d’identifier les composants logiciel contenus dans l'application, de générer une nomenclature logicielle (SBOM) et de détecter les vulnérabilités Zero-day et N-day.
« La plupart des organisations investissent beaucoup pour assurer la sûreté et la sécurité de leurs chaînes d'approvisionnement physiques, mais oublient bien souvent d’évaluer l'intégrité du code des applications qu’ils utilisent quotidiennement pour gérer leur entreprise. Des incidents récents comme l'attaque SolarWinds ont mis en lumière le risque logiciel et ses conséquences », a déclaré Mike Dager, PDG de GrammaTech. « CodeSentry permet aux compagnies de découvrir quels composants sont présents dans les logiciels qu'elles développent ou qu’elles utilisent, de détecter la présence de vulnérabilités potentielles et d'atténuer les risques. CodeSentry automatise également la conformité à l'exigence de fournir une SBOM détaillée imposée dans le récent décret exécutif sur la cybersécurité (USA). »
« La plupart des organisations investissent beaucoup pour assurer la sûreté et la sécurité de leurs chaînes d'approvisionnement physiques, mais oublient bien souvent d’évaluer l'intégrité du code des applications qu’ils utilisent quotidiennement pour gérer leur entreprise. Des incidents récents comme l'attaque SolarWinds ont mis en lumière le risque logiciel et ses conséquences », a déclaré Mike Dager, PDG de GrammaTech. « CodeSentry permet aux compagnies de découvrir quels composants sont présents dans les logiciels qu'elles développent ou qu’elles utilisent, de détecter la présence de vulnérabilités potentielles et d'atténuer les risques. CodeSentry automatise également la conformité à l'exigence de fournir une SBOM détaillée imposée dans le récent décret exécutif sur la cybersécurité (USA). »
Analyse binaire CodeSentry
Les industriels ont traditionnellement fait confiance aux fournisseurs de logiciels pour gérer les risques de sécurité associés aux applications qu'elles achètent. Mais la fréquence croissante des attaques de la chaîne d'approvisionnement logicielle oblige les entreprises à évaluer et à vérifier de manière proactive les logiciels tiers pour détecter les vulnérabilités qui les exposeraient à des menaces. Étant donné que le code source est rarement disponible pour ces applications commerciales, l'analyse binaire est la seule alternative pour extraire une SBOM et pour détecter les risques sous-jacents dans les produits logiciels commerciaux.
Dérivé de recherches menées pour les agences de défense et de renseignement, CodeSentry offre les capacités et avantages suivants :
« La dépendance croissante des développeurs logiciels envers les composants open source et tiers est l'une des principales raisons pour lesquelles la chaîne d'approvisionnement logicielle est vulnérable et exploitable par des attaquants », a déclaré Chris Rommel, vice-président exécutif de VDC Research. « Par conséquent, les fournisseurs d'applications et les utilisateurs finaux ont besoin d'une visibilité totale sur les codes qu'ils vendent et utilisent afin de pouvoir prouver en permanence l'intégrité des logiciels, de détecter et d’atténuer de manière proactive les vulnérabilités. »
Dérivé de recherches menées pour les agences de défense et de renseignement, CodeSentry offre les capacités et avantages suivants :
- SBOM complète : L'analyse binaire identifie les composants open source et tiers et fournit un score de sécurité, des détails sur la correspondance des composants, des informations sur la version, l'emplacement et des informations détaillées sur les vulnérabilités, y compris les scores CVSS
- Plusieurs formats SBOM supportés, y compris le standard de l'industrie CycloneDX
- Détection des vulnérabilités Zero-Day et N-Day : Détecte les vulnérabilités inconnues (zero-day) et connues (n-day) dans les composants open source et tiers identifiés
- Tableau de bord exécutif : Fournit un score de risque d'application logicielle basé sur les vulnérabilités détectées, les CVSS et les indicateurs de performance clés (KPI)
- Rapports avancés : Pour les audits de conformité et de gouvernance des risques
- Déploiement aisé :Application SaaS native avec déploiement sur site (ON-Premise) en option
« La dépendance croissante des développeurs logiciels envers les composants open source et tiers est l'une des principales raisons pour lesquelles la chaîne d'approvisionnement logicielle est vulnérable et exploitable par des attaquants », a déclaré Chris Rommel, vice-président exécutif de VDC Research. « Par conséquent, les fournisseurs d'applications et les utilisateurs finaux ont besoin d'une visibilité totale sur les codes qu'ils vendent et utilisent afin de pouvoir prouver en permanence l'intégrité des logiciels, de détecter et d’atténuer de manière proactive les vulnérabilités. »
Principaux cas d'utilisation
CodeSentry relève les défis suivants auxquels sont confrontés les fournisseurs de logiciels et les entreprises :
- Gestion des risques des fournisseurs informatiques – Permet de réduire les risques pour l'entreprise en évaluant les composants et la sécurité des applications logicielles commerciales (COTS) telles que les applications financières, RH, vidéoconférence, de messagerie et autres applications de productivité
- Sécurité de l'information – Permet d’assurer une posture de sécurité solide en testant de manière proactive les applications COTS pour les vulnérabilités avant de les déployer au niveau du service ou dans l'ensemble de l'entreprise
- DevSecOps – Permet de sécuriser le code tiers qui est introduit dans le cycle de vie du développement logiciel pour assurer qu'il a été conçu et architecturé avec une sécurité sur l'ensemble de la chaine
A propos, de GrammaTech :
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu'elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
A propos d’ISIT : Au cœur du Temps Réel Embarqué
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu'elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
A propos d’ISIT : Au cœur du Temps Réel Embarqué
