개발자 중심의 애플리케이션 보안 검사(AST) 솔루션 업계의 세계적 선두 주자인 Checkmarx가 현대적 애플리케이션 개발 수명주기 간 의심스럽고 악의적으로 사용될 수 있는 오픈 소스 패키지를 식별하는 Checkmarx Supply Chain Security 솔루션을 출시했다고 밝혔다.

Gartner®[i] 에 따르면, 2025년까지 60%에 달하는 조직들이 공급 체인 보안 공격에 대응한 보안을 위해 소프트웨어 전송 파이프라인을 강화할 예정이다.

Checkmarx 대표 이사인 Emmanuel Benzaguen은 “공격자들은 소프트웨어 공급 체인을 표적으로 삼고 지금까지 전 세계 개발자 커뮤니티의 신뢰를 받아온 오픈 소스트웨어 에코 시스템을 남용해 이를 실행하려 하고 있다. Checkmarx는 개발자 우선의 접근 방식을 통해 위협 정보, 행동 정보 및 머신 러닝 모델을 포함한 포괄적 슈트를 활용해 코드 패키지에 숨어있는 공급 체인 공격을 감지한다”고 말했다.

◇Supply Chain Security 연구 및 사고 리더십

몇 달간 Checkmarx 보안 연구 팀은 수백 개의 악성 오픈 소스 패키지를 찾아냈다. 디펜던시 컨퓨전, 타이포스쿼팅 및 체인재킹에 대한 연구 논문을 Checkmarx 블로그에서 찾아볼 수 있다. 최근 떠오르는 악성 오픈 소스 패키지에 대한 3가지 최신 경향에 대한 추가 보고서는 여기서 찾아볼 수 있다.

Checkmarx Supply Chain Security는 Checkmarx Software Composition Analysis (SCA)와 협동해 오픈 소스 프로젝트의 상태와 보안에 이상이 없는지 확인하고, 제공자에 대한 평판을 분석하며, 데토네이션 챔버 내에서의 분석을 통해 패키지의 행동에 대한 정보를 곧장 얻어낸다. 그 결과, 모든 소프트웨어 공급 체인에 대한 이해와 분석을 얻게 돼 조직의 애플리케이션 보안에 발생한 미진한 점을 보완할 수 있다.

Checkmarx 공급 체인 보안부장 Tzachi Zorenstain는 “현재 시중에서 판매되는 솔루션은 반응적으로 커뮤니티의 피드백에 의거해 취약한 코드를 탐지하고 이를 분석할 뿐 그 뒤에 숨어있는 사람을 탐지 및 분석은 하지 못한다”며 “Checkmarx Supply Chain Security 솔루션은 모르는 사람에게서 코드를 받지 말라란 원칙에 기초해 만들어져 코드 제공자에게 있어 신용 평점 시스템과 같은 본사의 평판 데이터베이스를 참조해 작동한다”고 말했다. 이어 “우리 목표는 기업에 빠른 애플리케이션 개발을 지원하고, 그들이 고객으로부터 신뢰를 잃지 않도록 해주는 것”이라고 덧붙였다.

◇현대적 애플리케이션 개발을 위한 종합적 공급 체인 보안

Checkmarx Supply Chain Security는 조직으로 하여금 다음과 같은 중요한 기능이 함축된 종합 슈트를 통해 안전하고 확실하게 오픈 소스 소프트웨어를 사용해 현대적 애플리케이션 개발을 가속하도록 한다. 소스의 상태 및 소프트웨어 청구서 (SBOM): SBOM 생성과 혼합해 오픈 소스 패키지와 커뮤니티에 대한 지식을 제공한다.

·악성 패키지 탐지: 디펜던시 컨퓨전, 타이포스쿼팅, 체인재킹 등 기타 악성 행동 및 패키지를 탐지한다.

·제공자 평점: 조직에 영향을 미칠 수 있는 모든 프로젝트에서 제공자의 활동을 수동적으로 분석할 필요 없이 오픈 소스 패키지의출처에 대한 신뢰도를 회복시킨다.

·행동 분석: 정적 및 동적 분석을 추가해 코드가 어떻게 작동하는지 관찰한다. Checkmarx Supply Chain Security 데토네이션 챔버는 코드 패키지에 대한 심층 분석을 제공하고 불분명한 부분을 제거해 스텔스 위협에서 보호한다.

·지속 결과 처리: 고객이 사용할 수 있도록 평점 및 취약성 데이터베이스를 유지 관리하며, Checkmarx 보안 연구 및 위협 사냥 능력을 지속적으로 갱신한다.

지금 바로 Checkmarx Supply Chain Security을 사용할 수 있다. 더 자세한 정보를 보려면 이 페이지를 찾으면 된다.

[i] Gartner가 예상한 2022년: Manjunath Bhat와 Mark Horvath 등은 2021년 12월 3일 소프트웨어 개발의 현대화는 디지털 변환의 열쇠라고 말했다. GARTNER는 미국과 전 세계에 분포한 Gartner 주식회사 및 또는 그 계열사의 등록된 트레이드 마크이자 서비스 마크로 승인 하에 사용됐다. 저작권의 보호를 받는다.

Checkmarx 개요

Checkmarx는 계속해 애플리케이션 보안 검사의 경계를 넓혀 전 세계의 개발자들에게 매끄럽고 간단한 보안을 제공하고, CISO가 필요한 자신감과 통제력을 가지도록 하고 있다. AppSec 검사의 선두 주자로써 우리는 업계 최고의 종합 솔루션을 제공해 개발 및 보안 팀이 비교 불가능한 정확성과 행동 범위, 가시성 및 지도를 얻어 특허 코드, 오픈 소스, API 및 인프라 코드를 포함한 모든 현대적 소프트웨어에 대한 낮은 위험에 노출되도록 한다. Fortune 50대 기업의 거의 절반을 포함한 1600명 이상의 고객이 저희의 기술과 전문가 연구 내용 및 글로벌 서비스를 믿고 사용해 속도와 크기에서 모두 안전하게 최적화된 개발 환경을 누리고 있다. 더 자세한 정보를 보시려면 Checkmarx 웹사이트를 방문하거나, 블로그를 확인하거나 링크트인에서 본사를 구독하면 된다.

Supply Chain Security 솔루션 안내 홈페이지: https://checkmarx.com/supply-chain-security/?utm_s...

웹사이트: https://checkmarx.com/