©2023 Checkmarx Ltd. All Rights Reserved. iISO/IEC 27001:2013 Certified
CxSCA
Unverzichtbar beim Bereitstellen von Code
Mit CxSCA haben Ihre Entwickler jederzeit die Gewissheit, dass die Open-Source-Libraries, die sie verwenden, auch wirklich sicher sind. Mit diesem Wissen – und der tatkräftigen Unterstützung unserer Experten – können sie eigene und Drittanbieterkomponenten zu leistungstarker Software zusammenführen.
Beschleunigen Sie die Entwicklung von Anwendungen. Stoppen Sie Security-Schwachstellen.
VERSTEHEN SIE, WIE OPEN SOURCE TICKT
Wissen Sie, woher Ihre Software stammt?
Wenn Sie den Open-Source-Code, den Sie verwenden, bis ins Detail kennen, können Sie auf diesem Fundament eine lückenlose Bill of Materials (SBOM) erstellen – und sind damit optimal für künftige Security-Vorfälle und anstehende Audits gewappnet.
In einer Welt, in der Anwendungen immer dezentraler werden, übersieht man leicht, wenn ein Entwickler zu einem unsicheren Open-Source-Paket greift.
CxSCA löst diese Aufgabe, indem die Lösung automatisch Ihre Codebasis scannt, und darauf aufsetzend eine SBOM erstellt. Darin sehen Sie nicht nur, welchen Third-Party-Code Sie verwenden, sondern auch, wo in Ihrem Code er sich befindet.
So wissen Sie jederzeit, wie Ihre Software-Supply-Chain aussieht, und tun sich leicht damit, Schwachstellen durch Open-Source-Code in Ihren Anwendungen zu beheben. Und Sie können jederzeit dokumentieren, woraus Ihr Code besteht und wie Sie die Sicherheit von Third-Party-Abhängigkeiten gewährleisten.
SOFORTIGE SCHWACHSTELLEN-BEHEBUNG
Decken Sie kompromittierte Abhängigkeiten auf
Integrieren Sie zuverlässige Alerts für Open-Source-Schwachstellen in Ihren Software-Delivery-Workflow. Unser Expertenteam berät Sie bei der Priorisierung der Schwachstellen.
Wenn Sie eine Open-Source-Library, ein Modul oder eine andere Abhängigkeit mit einer bekannten Schwachstelle in Ihrer Anwendung integriert haben, müssen Sie diese finden und beheben, bevor Schaden entsteht.
Sie können entweder versuchen, Schwachstellen-Datenbanken manuell zu durchforsten und mit Ihren Abhängigkeiten abzugleichen. Oder Sie wählen den einfacheren Weg: CxSCA scannt automatisch Ihre Codebasis, sucht nach Open-Source-Komponenten und informiert Sie, wenn diese ein Risiko darstellen.
CxSCA prüft außerdem den Exploitable Path jeder Schwachstelle, um herauszufinden, ob Sie wirklich in Gefahr sind. Das hilft Ihnen, die Risikometriken der Schwachstelle genau einzuschätzen und sie effektiv zu beseitigen. Ist beispielsweise noch kein Patch des Open-Source-Projekts verfügbar, können Sie den Daten-Input blockieren, mit dem die Angreifer die Sicherheitslücken ausnutzen, und die Schwachstelle so entschärfen, bis sie behoben ist.
LIZENZ UND REGISTRIERUNG, BITTE
Wie Sie Open-Source-Lizenz-Risiken managen
Behalten Sie die Open-Source-Lizenzen, denen Sie zugestimmt haben, im Blick. Richten Sie das Augenmerk vor allem auf Lizenzen, die eine Gefahr für das geistige Eigentum Ihres Unternehmens bedeuten könnten.
Es ist ein weitverbreiteter Mythos, dass Entwickler jeden Open-Source-Code vollkommen frei nutzen können und nur wenige oder keine festen Regeln einhalten müssen.
Die Realität ist wesentlich komplizierter. Einige Open-Source-Lizenzen erfordern die Nennung der Urheber. Andere verlangen, dass die daraus entstehenden Anwendungen ebenfalls mit Open-Source-Lizenz zur Verfügung stehen. Wieder andere gestatten den ursprünglichen Library-Entwicklern, Nutzungsgebühren einzufordern – entgegen der allgemeinen Meinung ist Open Source nicht immer kostenlos. Und angebliche Lizenzverstöße ziehen oft lanwierige juristische Auseinandersetzungen nach sich.
Die Realität ist wesentlich komplizierter. Einige Open-Source-Lizenzen erfordern die Nennung der Urheber. Andere verlangen, dass die daraus entstehenden Anwendungen ebenfalls mit Open-Source-Lizenz zur Verfügung stehen. Wieder andere gestatten den ursprünglichen Library-Entwicklern, Nutzungsgebühren einzufordern – entgegen der allgemeinen Meinung ist Open Source nicht immer kostenlos. Und angebliche Lizenzverstöße ziehen oft langwierige juristische Auseinandersetzungen nach sich.
Bauen Sie einen stärkeren und sicheren SDLC.
Wir zeigen Ihnen, wie es geht.
Wir zeigen Ihnen, wie es geht.
Security-Scans
Marktführendes Research-Team
Bessere Ergebnisse
Security-Scans
Nutzen Sie für Ihre Security-Scans die gleichen Tools, die Sie im Alltag verwenden.
CxSCA nutzt Ihre CI-Tools, um SCA-Scans in Ihren Software-Build-Pipelines einzubinden. Mehr erfahren Sie im Artikel. Lesen Sie den ArtikelMarktführendes Research-Team
Finden Sie die Nadel im Heuhaufen
Checkmarx SCA kombiniert leistungsstarke Technologien mit einem auf Open Source spezialisierten Research-Team, um Ihnen weniger, dafür aber relevantere Ergebnisse zu liefern. Wie? Lesen Sie den Blog. Die neuesten Schwachstellen im BlickBessere Ergebnisse
Der Weg des geringsten Risikos
Checkmarx SCA kombiniert leistungsstarke Technologien mit einem auf Open Source spezialisierten Research-Team, um Ihnen weniger, dafür aber relevantere Ergebnisse zu liefern. Wie? Lesen Sie den Blog. Lesen Sie den Blog.Was Kunden und Experten über CxSCA sagen
"Der Nutzen von SCA ist nicht zu leugnen: Wenn Sie Open-Source-Libraries nutzen, benötigen Sie eine SCA-Lösung, die die möglichen Gefahren für Ihr Projekt kompetent bewertet. Sie brauchen belastbare Daten… CxSCA ist eine wichtige Datenquelle, um das Bedrohungspotenzial einzuschätzen und die Risiken für den Quellcode zu kalkulieren. SCA liefert Ihnen die Daten, um überzeugend zu argumentieren.“
Dr. George Perkins, Application Security Specialist DAZN Group
"Es war eine großartige Erfahrung. Die Software ist sehr intuitiv und [SCA] deckt unsere Anforderungen an die schnelle Evaluierung unserer Codebasis derzeit voll ab."
Software Developer in der Kommunikationsbranchevia Gartner Peer Insights
"Am Besten gefällt mir die API-Integration, durch die wir die Lösung nahtlos in unsere Pipelines einbinden können…Die Lösung liefert sehr klar die Resultate und informiert uns nicht nur über die Risiken und deren Schweregrad, sondern auch darüber, wie man sie behebt."
Appliance Cyber Security Manager im Finanzbereichvia Gartner Peer Insights
"Wir sind ein großes Unternehmen mit vielen Entwicklungsabteilungen, und jedes Team entwickelt Code in einer anderen Sprache. Dass uns Checkmarx die Möglichkeit bietet, multiple Sprachen zu scannen, ist eine große Arbeitserleichterung, weil wir so alle Analysen über eine einheitliche Plattform abwickeln können. Wir müssen uns auch keine Gedanken darüber machen, welche Sprachen verwendet wurden. Wir wählen einfach das Repository, das gescannt werden soll, und fertig. Das einfache Handling unterschiedlicher Sprachen ist für uns ein zentraler Punkt."
Justin Goodhart, Application Security Specialist Washington State Dept. of Social & Health Services
Hat das Open Source Security Scanning Ihre Neugier geweckt?
Legen Sie heute los und verbessern Sie schnell Ihre AppSec-Abdeckung und -Überwachung.