GrammaTech CodeSonar 6.0 mit tieferer Integration von statischen Sicherheitstests (SAST) in DevOps-Pipelines
CodeSonar 6.0 bietet Visualisierungs- und Analyseverbesserungen, eine GitLab-Integration sowie zusätzliche Sprach- und Compiler-Unterstützung. Die neuen Funktionen in CodeSonar 6.0 erleichtern es Entwicklern, Sicherheitsmängel zu vermeiden, indem sie die Erkennung von Problemen automatisieren und Verstöße gegen Best Practices in ihren Entwicklungsumgebungen identifizieren. Sicherheitsüberprüfungen, die in Continuous-Integration- und Continuous-Delivery-Prozessen (CI/CD) integriert sind, bilden eine wichtige Komponente für frühes Testen im Entwicklungsprozess (Shift-Left-Tests) und das Einbinden von Sicherheit in DevOps-Workflows.
Zu den wichtigsten Neuerungen in CodeSonar 6.0 zählen:
Für C/C++:
* Verbesserung des C++-Parsers mit zusätzlichem Support für C++20 Sprachmerkmale und Android 11 Analyse
* neue und aktualisierte Modelle für mehrere Compilerarten
* mehrere neue Warning-Klassen
* Verfeinerung des CWE Broad Mapping und Aktualisierung auf CWE 4.3 (Common Weakness Enumeration)
Für Java:
* CodeSonar 6.0 enthält die neue Java-Analyse-Engine mit hoher Genauigkeit und Vollständigkeit sowie einer breiten Abdeckung von CWE-Sicherheitslücken
* Unterstützung bis Java 14 und vollständige Integration in den CodeSonar Hub
„Viele Unternehmen gehen vermehrt dazu über, Testing zu einem integralen Bestandteil ihrer Entwicklungsprozesse zu machen. Je früher in diesem Stadium Probleme und Sicherheitslücken identifiziert werden, umso einfacher und damit auch kostengünstiger ist es in aller Regel, sie zu beheben. Die neue Version 6.0 von CodeSonar macht es deutlich einfacher, Verfahren für statische Sicherheitstests in DevOps-Pipelines einzubinden, ohne dass es zu Unterbrechungen oder einer Verlangsamung der Entwicklungsprozesse kommt“, erklärt Klaus Lambertz, Geschäftsführer der Verifysoft Technology GmbH.
CodeSonar wird aktuell von über 500 Kunden eingesetzt, um den Übergang zu DevSecOps-Verfahrensweisen zu unterstützen.
Static Analysis Days 2021
Welche Möglichkeiten die statische Code-Analyse generell bietet und wie sie besonders effizient genutzt werden kann, erfahren Interessenten auch im Rahmen der Static Analysis Days 2021. Die Fachveranstaltung mit Experten-Vorträgen und internationalen Referenten findet am 5. und 6. Mai 2021 digital statt.
Weitere Informationen und Anmeldung: https://www.verifysoft.com/…
Verfügbarkeit
CodeSonar ist ein Produkt des US-amerikanischen Unternehmens GrammaTech. Vertrieb und Support erfolgen im deutschsprachigen Raum über die Verifysoft Technology GmbH. Kostenlose Evaluationen sind über www.grammatech.com und www.verifysoft.com erhältlich.
Über GrammaTech
Durch GrammaTechs Softwarelösungen werden Firmen in die Lage versetzt, noch sicherere Software zu entwickeln, indem Sicherheitslücken, Software-Bugs und andere Schwachstellen aufgedeckt und somit die Fehlerrate und die Wahrscheinlichkeit für erfolgreiche Cyber-Attacken verringert werden. GrammaTech CodeSonar ist in DevSecOps-Workflows integrierbar, um Bugs und Sicherheitslücken in Quellcode und Drittanbietercode aufzudecken. GrammaTech ist ebenfalls in der Forschung für Software-Sicherheit involviert und wichtiger Partner von bedeutenden amerikanischen Institutionen wie DoD, DARPA und NASA. Hauptsitz von GrammaTech ist Bethesda, MD. Forschung und Entwicklung befindet sich in Ithaca, NY.
CodeSonar und CodeSentry sind eingetragene Warenzeichen der GrammaTech, Inc.
Über Verifysoft Technology:
Die Verifysoft Technology GmbH ist ein führender Anbieter von Tools, Dienstleistungen und Schulungen zur Steigerung der Softwarequalität und Senkung der Entwicklungskosten im Embedded-Bereich. Das 2003 gegründete Unternehmen betreut mit einem internationalen Beraterteam am Firmensitz in Offenburg über 600 Kunden in weltweit fast 40 Ländern. Ein Schwerpunkt von Verifysoft Technology ist die Messung und Dokumentation der Code Coverage (Testüberdeckung) und der Codequalität. Dazu bietet Verifysoft Technology mit Testwell CTC++, Testwell CMT++ und Testwell CMTJava Lösungen an, die in allen sicherheitskritischen Branchen zum Einsatz kommen. Zudem ist Verifysoft Technology Distributor für verschiedene komplementäre Tools zur Qualitätssicherung von Software, wie der Statischen Codeanalyse.
Weitere Informationen zu Verifysoft Technology stehen unter www.verifysoft.com bereit.
Verifysoft Technology GmbH
In der Spöck 10
77656 Offenburg
Telefon: +49 (781) 1278118-0
Telefax: +49 (781) 6392029
http://www.verifysoft.com
Pressekontakt
Telefon: +49 89 6230 3490
E-Mail: hansel@fx-kommunikation.de
Geschäftsführer, Direktor Marketing und Vertrieb
Telefon: +49 (781) 6392027
Fax: +49 (781) 6392029
E-Mail: lambertz@verifysoft.com
GrammaTech veröffentlicht CodeSentry™ zur Identifizierung von Sicherheitslücken in Code von Drittanbietern
Leistungsfähige Binäranalyse der Komponenten
CodeSentry nutzt eine leistungsfähige Binäranalyse, um eine detaillierte Komponentenliste, auch als Software Bill of Materials (SBOM) bezeichnet, zu erstellen und die dafür bekannten Schwachstellen aufzuzeigen. Drittanbietersoftware kann als Quellcode oder in Binärform verarbeitet werden. Die zugrundeliegenden Komponenten sind der Organisation, die sie verwendet, möglicherweise unbekannt. Es kann sich hierbei um Open Source, Commercial-Off-The-Shelf (COTS) oder Code aus Auftragsentwicklung handeln. CodeSentry ist in der Lage, die damit verbundenen Komponenten und deren Schwachstellen zu erkennen. Dies sind beispielsweise sowohl Netzwerk- und GUI-Komponenten als auch Authentifizierungsebenen.
Spezialisierte Angriffe auf Komponenten von Drittanbietern nehmen zu
Die Notwendigkeit einer solchen Prüfung von Drittanbieterkomponenten wurde in den letzten Jahren durch hochspezialisierte Angriffe immer deutlicher. Diese Attacken zielen darauf ab, bekannte Open-Source-Schwachstellen in Drittanbieterkomponenten auszunutzen. Laut Gartner haben diese Risiken innerhalb der Software-Lieferkette zunehmend an Bedeutung gewonnen. Im Gegensatz zu Schwachstellen, die durch Unachtsamkeit in der Softwareentwicklung entstehen, steigt die Zahl der Fälle, bei denen schädlicher Code mit Absicht von Angreifern in Open-Source-Code eingefügt wird (vgl. Gartner, “Technical Insight for Software Composition Analysis”, November 2019 by Dale Gardner).
„Die Verwendung von Komponenten von Drittanbietern – anstatt diese von Grund auf selbst zu entwickeln – ist gängige Praxis, um die Markteinführungszeit zu verkürzen“, sagt GrammaTech-CEO Mike Dager. „Die meisten Unternehmen stellen mittlerweile jedoch fest, dass Code von Drittanbietern für ihre Anwendungen und ihr Geschäft Sicherheitsrisiken mit sich bringt. Hieraus resultiert die Forderung nach einer Analyse der Softwarezusammensetzung. CodeSentry kann diese Prüfung mit besonderer Präzision durchführen.“
Sicherung des modernen Software-Stacks
CodeSentry basiert auf GrammaTechs bahnbrechender Binär-Code-Analyse und Machine-Learning-Technologie. Das Tool liefert tiefgehende Einsichten in die Software, ohne dass der Quellcode verfügbar sein muss. Weiterhin bietet CodeSentry folgende Hauptvorteile:
– Einfache Nutzung über eine Schnittstelle zum Hochladen von Anwendungen, die native Binärdateien, Zip-Dateien und andere Archive akzeptiert. Für die Binärdateien sind keine Debug-Informationen erforderlich, sie können auf beliebigen Instruction Set Architectures (ISAs) basieren.
– Analyse des tatsächlich auszuführenden Codes anstatt der Build-Umgebung: Durch Weglassen des überflüssigen Codes der Build-Umgebung wird die False-Positive-Rate deutlich gesenkt.
– Identifizierung von Komponenten in nativen Binärdateien durch eine Vielzahl von Algorithmen zur Komponentenvergleichsbestimmung. Erfassung von Versionsnummernbereichen, Erstellung eines Software Bill of Materials (SBOM) mit Links zu CVE und CVSS-Ergebnissen.
– Um ein besonders hohes Niveau der binären Analyse zu erreichen, nutzt CodeSentry mehrere von GrammaTech zum Patent angemeldete Algorithmen. Die spezielle Einbettungstechnologie von GrammaTech ermöglicht es CodeSentry, Komponenten-Disassemblierungen multidimensionalen Vektoren zuzuordnen und diese dann zu vergleichen.
„Kunden, die Software Composition Analysis Tools der ersten Generation nutzen, müssen in der Regel den Nachteil in Kauf nehmen, dass sie keine Einsicht in Softwarekomponenten haben, die als Binärcode geliefert werden“, erklärt Vince Arneja, Chief Product Officer bei GrammaTech. „GrammaTechs Fähigkeit, Binärcode zu analysieren und eine Liste der Softwarezusammensetzung zu erstellen, stellt eine Lösung für Unternehmen dar, die die Angriffsfläche für Hacker proaktiv verkleinern wollen.“
Verfügbarkeit
CodeSentry ist ein Produkt des US-amerikanischen Unternehmens GrammaTech. Vertrieb und Support erfolgen im deutschsprachigen Raum über die Verifysoft Technology GmbH. Kostenlose Evaluationen sind über www.grammatech.com und www.verifysoft.com möglich.
Über GrammaTech
Durch GrammaTechs Softwarelösungen werden Firmen in die Lage versetzt, noch sicherere Software zu entwickeln, indem Sicherheitslücken, Software-Bugs und andere Schwachstellen aufgedeckt und somit die Fehlerrate und die Wahrscheinlichkeit für erfolgreiche Cyber-Attacken verringert werden. Die Tools GrammaTech CodeSonar und CodeSentry sind in DevSecOps-Workflows integrierbar, um Bugs und Sicherheitslücken in Quellcode und Drittanbietercode aufzudecken. GrammaTech ist darüber hinaus in die Forschung für Software-Sicherheit involviert und wichtiger Partner von bedeutenden US-amerikanischen Institutionen wie DoD, DARPA und NASA. Hauptsitz von GrammaTech ist Bethesda (Maryland). Die Forschungs- und Entwicklungsabteilung befindet sich in Ithaca (New York).
Weitere Informationen: www.grammatech.com
CodeSonar und CodeSentry sind eingetragene Warenzeichen der GrammaTech, Inc.
Die Verifysoft Technology GmbH ist ein führender Anbieter von Tools, Dienstleistungen und Schulungen zur Steigerung der Softwarequalität und Senkung der Entwicklungskosten im Embedded-Bereich. Das 2003 gegründete Unternehmen betreut mit einem internationalen Beraterteam am Firmensitz in Offenburg über 600 Kunden in weltweit fast 40 Ländern. Ein Schwerpunkt von Verifysoft Technology ist die Messung und Dokumentation der Code Coverage (Testüberdeckung). Dazu bietet Verifysoft Technology mit Testwell CTC++, Testwell CMT++ und Testwell CMTJava Lösungen an, die in allen sicherheitskritischen Branchen zum Einsatz kommen. Zudem ist Verifysoft Technology Distributor für verschiedene weitere Tools zur Qualitätssicherung von Software in Embedded Devices, wie zum Beispiel der Statischen Codeanalyse.
Weitere Informationen: www.verifysoft.com
Verifysoft Technology GmbH
In der Spöck 10
77656 Offenburg
Telefon: +49 (781) 1278118-0
Telefax: +49 (781) 6392029
http://www.verifysoft.com
Geschäftsführer, Direktor Marketing und Vertrieb
Telefon: +49 (781) 6392027
Fax: +49 (781) 6392029
E-Mail: lambertz@verifysoft.com
Pressekontakt
Telefon: +49 89 6230 3490
E-Mail: hansel@fx-kommunikation.de
