CodeSentry™ de GrammaTech
ISIT
Toulouse, le 27/10/2020 : GrammaTech, leader dans le domaine des outils test statique de sécurité des applications (SAST – Static Application Security Testing) et distribué en France par ISIT, dévoile aujourd’hui CodeSentry, sa toute nouvelle solution d’analyse statique. CodeSentry se classe dans la gamme des outils d’Analyse de Composition Logicielle ou Software Composition Analysis (SCA) en anglais, technique permettant de dresser l’inventaire des codes Tierce-partie contenus dans une application. CodeSentry amène une proposition unique sur le marché des solutions SCA car cette analyse est réalisée directement sur les binaires, sans nécessité de disposer des sources. Grâce à CodeSentry, il est maintenant possible aux responsables de la sécurité des logiciels d’identifier et de maitriser les risques liés aux codes tiers et leurs vulnérabilités, enfouis dans leurs applications, et ce, tout au long du cycle de vie de leurs logiciels. Avec CodeSentry, GrammaTech renforce sa position de fournisseur de choix dans les environnements DevSecOps.
« L’utilisation de codes tiers notamment OpenSource pour accélérer la mise sur le marché des produits est une pratique très largement répandue », a déclaré Mike Dager, PDG de GrammaTech. « La plupart des organisations reconnaissent désormais les risques de sécurité que ces codes tiers posent pour leurs applications et leurs activités, ainsi que la nécessité de réaliser des analyses de composition logicielle telle que celle réalisée par CodeSentry, permettant d’inspecter les binaires avec une précision inégalée. »
Ce besoin d'examiner plus minutieusement les codes tiers a été amplifié par des attaques de haut niveau exploitant des vulnérabilités open source. Selon Gartner, « les risques liés à la chaîne d'approvisionnement des logiciels ont attiré une attention accrue. Un nombre croissant d'incidents ont été observés dans lesquels du code malveillant a été intentionnellement introduit par des attaquants cherchant à exploiter la confiance qui existe dans la communauté open-source. »1
Étant donné que les logiciels tiers peuvent être fournis sous forme de sources et de binaires, des composants sous-jacents peuvent être inconnus de l'organisation qui les utilise. Ces codes enfouis peuvent être d’origine Open Source, commerciale (COTS) ou sous contrat. CodeSentry peut détecter les composants et les vulnérabilités qui leur sont associés, y compris les composants réseau, les composants GUI ou les couches d'authentification. Il utilise une analyse binaire approfondie pour créer une nomenclature logicielle détaillée (SBOM – Software Bill Of Materials) et une liste complète des vulnérabilités connues.
« L’utilisation de codes tiers notamment OpenSource pour accélérer la mise sur le marché des produits est une pratique très largement répandue », a déclaré Mike Dager, PDG de GrammaTech. « La plupart des organisations reconnaissent désormais les risques de sécurité que ces codes tiers posent pour leurs applications et leurs activités, ainsi que la nécessité de réaliser des analyses de composition logicielle telle que celle réalisée par CodeSentry, permettant d’inspecter les binaires avec une précision inégalée. »
Ce besoin d'examiner plus minutieusement les codes tiers a été amplifié par des attaques de haut niveau exploitant des vulnérabilités open source. Selon Gartner, « les risques liés à la chaîne d'approvisionnement des logiciels ont attiré une attention accrue. Un nombre croissant d'incidents ont été observés dans lesquels du code malveillant a été intentionnellement introduit par des attaquants cherchant à exploiter la confiance qui existe dans la communauté open-source. »1
Étant donné que les logiciels tiers peuvent être fournis sous forme de sources et de binaires, des composants sous-jacents peuvent être inconnus de l'organisation qui les utilise. Ces codes enfouis peuvent être d’origine Open Source, commerciale (COTS) ou sous contrat. CodeSentry peut détecter les composants et les vulnérabilités qui leur sont associés, y compris les composants réseau, les composants GUI ou les couches d'authentification. Il utilise une analyse binaire approfondie pour créer une nomenclature logicielle détaillée (SBOM – Software Bill Of Materials) et une liste complète des vulnérabilités connues.
1: Gartner, “Technical Insight for Software Composition Analysis”, 01 November 2019 by Dale Gardner
« Les outils d'analyse SCA de première génération s'appuient sur le code source pour identifier les composants tiers, ce qui les rend bien souvent inutilisables sur les logiciels livrés sous forme binaire », pour Vince Arneja, Directeur Produits de GrammaTech. « La capacité de CodeSentry à analyser les binaires pour en créer une nomenclature logicielle exhaustive élimine cette problématique et permet aux entreprises de réduire de manière proactive leur surface d’attaque. »
CodeSentry est basé sur la technologie révolutionnaire d'analyse de code binaire et d'apprentissage automatique (machine learning) de GrammaTech, et offre des avantages clés :
CodeSentry est d’ores et déjà disponible pour évaluation.
CodeSentry est basé sur la technologie révolutionnaire d'analyse de code binaire et d'apprentissage automatique (machine learning) de GrammaTech, et offre des avantages clés :
- Facilité d'utilisation via une interface de téléchargement d'application qui accepte les binaires natifs, les fichiers zip ou tout autres types d’archives. Les binaires ne nécessitent pas d'informations de débogage et peuvent être basés sur bon nombre d'architectures de jeu d'instructions (ISAs).
- Analyse du code exécutable et non de l'environnement de Build. Cette approche réduit considérablement le nombre de faux positifs dus au code superflu présent dans les builds comme par exemple des composants (librairies) exclus en raison de configurations de build spécifiques.
- Identification des composants présents dans les binaires natifs grâce à différents algorithmes de correspondance afin de collecter les informations relatives aux numéros de version, de créer la SBOM et de fournir des liens vers les scores CVE et CVSS.
CodeSentry est d’ores et déjà disponible pour évaluation.
A propos, de GrammaTech :
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu'elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
Rendez-nous visite sur https://www.grammatech.com/ et suivez-nous sur LinkedIn et Twitter.
A propos, d’ISIT : Au cœur du Temps Réel Embarqué
GrammaTech permet aux entreprises de développer des produits et services plus sécurisés en atténuant les vulnérabilités des logiciels qu'elles développent et en réduisant leur exposition aux cyberattaques. Les produits CodeSonar et CodeSentry s’intègrent intuitivement dans les environnements DevSecOps et permettent de découvrir les failles de sécurité dans le code source et tierce-partie tout en assurant la traçabilité du code. GrammaTech est également un partenaire de confiance en cybersécurité et en recherche fondamentale sur les logiciels pour les organismes de défense et de renseignement, notamment le DoD, DARPA et la NASA. La société a son siège à Bethesda, MD et exploite un centre de recherche et de développement à Ithaca, NY.
Rendez-nous visite sur https://www.grammatech.com/ et suivez-nous sur LinkedIn et Twitter.
A propos, d’ISIT : Au cœur du Temps Réel Embarqué
