RSA Conference 2023将于旧金山时间4月24日-27日召开。自2005年以来,“RSAC创新沙盒”一直是最具创新型的初创网络安全公司展示其突破性技术并角逐“最具创新创业公司”称号的平台。
近日,RSA Conference正式公布“RSAC 2023创新沙盒”十强公司,分别为AnChain.AI、Astrix、DAZZ、Endor Labs、Hidden Layer、Pangea、RELYANCE AI、SafeBase、Valence、Zama。
RSAC创新十强往往代表着行业最优秀、最耀眼、最具有挑衅性和前沿性的想法的发展方向。安全客联合360天枢智库,推出“RSAC 2023创新沙盒”十强解读专栏,走进入围十强厂商,把脉创新发展趋势。
今天,我们要介绍的是DAZZ和Endor Labs。
Dazz(美国):
通过自动化云安全修复平台保护云开发环境
关键词:Dazz 云安全 RSAC2023 创新沙盒
2023年3月23日,美国初创安全公司Dazz入选RSAC 2023创新沙盒十强。该公司是一家总部位于美国加州的云安全修复技术提供商。
公司:Dazz
创始人:Merav Bahat、Tomer Schwartz和Yuval Ofir
成立:2021年9月
领域:云安全修复
总部:美国
融资:6000万美元
摘 要
Dazz因为其提供云修复平台入选RSAC 2023创新沙盒十强。该公司定位为一家云安全修复平台(Dazz Remediation Cloud),旨在保护云上的开发环境,解决因云计算的快速采用而产生的安全漏洞,快速发现安全盲点、确定问题的优先级,实现自动根本原因分析和由开发人员主导的快速补救措施,并防止云开发环境中未处理的安全风险问题。
Dazz由来自微软云安全部门的高管和云安全专家Merac Bahat、Tomer Schwartz和Yuval Ofir共同创立。
该团队不仅拥有强大的技术以及实践能力,而且拥有很强的商业能力,拥有很强的竞争力。该公司在成立不到一年内获得6000万美元融资(相当于B轮融资)。Insight Partners等著名机构投资了该项目。
Dazz的创始人团队
Dazz由Merac Bahat(首席执行官)、Tomer Schwartz(首席技术官)和Yuval Ofir(开发副总裁)共同创立。
Dazz创始人团队(来源:Nathanel Tobias)
Merav Bahat是前微软以色列研发中心副CEO,同时担任微软云安全部门总经理(该部门为微软创造了超过10亿美元的销售额)。
Tomer Schwartz是物联网安全领导者Armis的联合创始人(该公司后来被Insight Partners收购。后者现在是Dazz的投资商)。Tomer也曾是Adallom公司的研究主管(该公司在Merav Bahat任职期间被微软收购,),Tomer还在以色列创立了微软安全响应中心。
Yuval Ofir是工业网络安全领导者Claroty公司的研发副总裁(该公司收购了Medigate),也是著名的以色列国防军情报部门8200的领导者。
Dazz的融资情况
Dazz因为其在技术和商业能力方面的优势,在成立不到一年的时间内共获得了6000万美元的融资(相当于B轮融资),也是创新沙盒十强中获得融资最多的一家公司。
参与Dazz项目的一些知名风险投资公司包括:Insight Partners ( Steve Ward )、Greylock (Asheem Chandna 和Sarah Guo )、Index Ventures ( Shardul Shah )和Cyberstarts ( Gili Raanan )。
Dazz解决了哪些安全挑战
随着云计算软件开发的飞速发展,安全专家必须处理更多的复杂性、工具、碎片化,以及因此而带来的更多风险。安全工具产生的告警远远超过了可以处理的范围,使得安全专家都无法清晰地决定其关注的优先级,更不用说修复所有的问题了。
通常情况下,云上的补救措施是复杂而耗时的,MTTR最多甚至可以达到数周的时间,而云环境中的网络攻击则在几分钟内发生。因此,云上漏洞的修补从来都是一个难题。
在标准的SDLC领域,业界完全不缺少工具。目前在市场上有数百种工具可用于发现云安全问题,尽管这些工具通常在检测潜在安全风险方面做得很好,但是,往往这些安全漏洞修复是通过手动进行的,并且针对很多漏洞,对客户而言其实很难处理所有的告警信息,并对调查结果也很难采取实质性行动,所以导致大量的问题依然没有办法解决。
如图B-1所示,从计划(Plan)、代码(Code)、构建(Build)、测试(Test)、部署(Deploy)、生成(Production)和监控(Monitor)的整个SDLC流程中,有众多的安全厂商提供各种各样的安全工具,如仅在设计阶段的著名厂商就包括,securecodewarrior、IriusRisk、Snyk、SecurityCompass;在SCA领域有,Snyk、Mend(原Whitehouse)、Sonatype、Synopsys等厂商。其它阶段也都是类似的情况。
图B-1 DevSecOps相关的厂商和工具
对DevSecOps专家来说,面对如此繁多的安全工具,将很难做出明智的选择,往往陷入如下一些经典问题的混乱之中。比如,
1. 如何修复生产中的某个关键漏洞?
2. 应该首先关注哪个漏洞?
3. 谁是负责修复这个漏洞工件的开发者?
4. 这个代码漏洞在生产中是否可以被利用?
5. 是否从根源上修复了这个漏洞,还是会再次发生?
DAZZ宣称其可以解决如下四个主要挑战:
1. 补救措施挑战。即使安全团队能够锁定实际的根源问题和所有者,修复每个问题的实际过程也是手动和繁琐的,包括在网上研究问题,在源头上修复它,并确保它不会在其他地方再次出现。
2. 保真度和上下文挑战。除了必须对重复的安全告警进行分类外,安全团队往往会发现许多告警的保真度很低,有很多假阳性,并且/或者缺乏在代码和创建它的管道之间进行关联并有效解决问题所需的上下文。
3. 所有权挑战。一旦团队将告警拆解到其根本原因,找到负责修复这些问题的代码所有者的过程也是很耗时的。采用现代架构使开发团队分散,这样会使的工程师更有效率,但由于他们独立创建和发布自己的服务,因此更难追踪。
4. 重复性挑战。由于有多个检测工具从不同的角度对相同的问题发出告警,大多数告警是重复的。因为每个工具处理检测的方式都有点不同,所以很难分辨它们是否相同,需要人工寻找和删除它们。安全团队往往会发现,许多问题有一个单一的根本原因,因此对工程师来说,进一步整理和分组是非常繁重的。
Dazz的解决方案
Dazz 修复云(Dazz Remediation Cloud)将代码、工件、部署和云环境与安全工具连接起来,以实现自动根本原因分析和由开发人员主导的快速补救措施。可以快速发现问题盲点、确定问题的优先级并简化开发人员工作流程中的修复工作,从而减少风险窗口。
Dazz的修复云平台是基于人工智能和机器学习技术构建的,可以帮助企业自动化地发现和修复云安全漏洞,从而提高安全性和可靠性。
Dazz致力于构建一个用于发现配置错误的各种工具的平台,并提供对开发人员友好的报告,将问题精确到代码级别,识别单个代码片段的开发者,甚至提出特定的修复建议。
它支持多个云平台,包括Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP),并可以与多个CI/CD工具集成,包括Jenkins和GitHub等。Dazz还提供API和命令行界面,方便开发人员在其自己的工作流程中使用。
Dazz修复云解决方案三大步骤:
1. 发现(Discover):了解从代码到云的部署过程,统一所有工具的云风险,并确定架构的差距。
2. 减少(Reduce)或清理噪音:根据其独特的根源对CVE和错误配置进行重复计算和优先排序,并自动找到其所有者。
3. 修补(Fix): 从检测到部署全生命周期实现简洁、结合上下文、可操作的补救程序。
如图B-2所示,Dazz修复云(Remediation Cloud)连接到客户的SDLC中的现有组件,映射其元素(elements),并overlay安全问题。它以独特的方式分析数据,以回溯每个安全问题的来源。Dazz修复云了解哪个特定的云资源导致了云安全工具中出现的安全问题,并将云资源追溯到用于部署它的特定管道。
通过全面检查管道,Dazz能够了解部署了哪个易受攻击的工件,以及是什么触发了它的构建。通过连接到源代码,能够分析应用更改的特定提交和开发人员,并最终提供有关根本原因的上下文,以便快速、高效地进行补救。
图B-2 DAZZ Ramediation Cloud 架构
1. 连接客户已有的安全工具
Dazz旨在轻松的连接到现有的安全工具,并提供对代码到云管道的即时可见性和洞察力。Dazz 已经支持50多个连接器连接到各种应用程序安全和云安全工具——而且这个列表还在继续增长,因为从头开始实施一个新的连接器平均需要大约两周的时间。
Dazz还提供了一个 API,允许为任何云原生安全工具创建自定义连接器。Dazz的本机连接器使用只读API将相关安全数据快速提取到Dazz修复云中。
2. 在几分钟而不是几个月内降低风险
Dazz简化了补救云和应用安全问题的繁琐过程并使之自动化。其独特性在于从根本原因分析且能够有效而迅速地从根本上修复安全问题。
其客户正在使用Dazz来优先处理最关键的根本原因,而不是疲于应付海量积压告警。这样一来,帮助客户缩小风险窗口,将修复时间从几周缩短到几分钟,并传达正确的修复方法,大大提升了效率。
图B-3 Dazz云代码安全最佳实践(来源:Dazz)
图B-3为DAZZ的一家财富500强的金融客户,在2021年臭名昭著的Log4j事件发生前几周购买了Dazz修复云。通过简单的基于API的集成,该团队将Dazz连接到GitLab,因此它可以发现并映射该组织的所有代码到生产的开发管道。
在几分钟内,Dazz显示了哪些安全工具正在使用,并将生产中的数千个告警减少到只有几个真正需要修复的关键根本原因。Dazz还确定了应该修复每个根本原因的所有者,并自动生成了对开发者友好的修复方案,使开发者能够迅速采取纠正措施。
其结果是,超过3000个容器在四天内被修复。现在,该团队对所有的漏洞都使用Dazz,他们能够将平均修复时间(MTTR)减少90%以上,并将未修复漏洞的风险窗口从4周以上缩短到2天。
Dazz的自动化技术是该公司云安全修复技术的关键,其中包括“大量”使用人工智能技术。根据该公司创始人的说法,Dazz的核心技术是由该公司开发的可解释的AI引擎驱动的。
Dazz和其它云安全公司之间有什么区别?该领域几乎所有公司都处理云环境中的风险识别(状态管理、检测等)。
相比之下,Dazz负责如何解决安全漏洞并预防这些风险。正如其创始人所说,“在云安全领域,爱因斯坦是错误的——发现问题并不比解决问题更重要,未经处理的安全问题是客户的下一个漏洞。” Dazz的产品实际上尝试取代了今天存在的人工修复过程——它宣称可以准确地找到解决问题的合适人选以及他需要做什么。
Dazz的客户包括一些知名的公司和组织,例如PayPal、PagerDuty和Tanium等。
市场情况
Gartner预测云安全市场在未来两年内会实现最快的增长,2023年将达到26.8%的增长率。这主要归因于三个影响因素:远程和混合工作的增加,虚拟专用网络的过渡(VPN)到零信任网络访问(ZTNA),以及向基于云的交付模型的转变。
普华永道《2023年全球数字信任洞察调查》报告显示,C级高管和董事会表示灾难性网络攻击是他们2023年弹性计划的首要场景,38%的人预计2023年云中会发生更严重的攻击[1]。
根据Fugue和Sonatype最近的一项研究发现,在过去36个月中,12%的组织遭受了严重的云数据泄露或泄露,这主要是由于配置错误的问题。
云安全市场正在迅猛发展,该领域涌入了数百家安全供应商,针对云安全最核心的漏洞的快速修复,Dazz的解决方案思路具有鲜明的特色。发现漏洞,减少人工修复工作,迅速归因和自动化修复将是该领域的核心竞争壁垒。
总 结
Gartner预测,到2025年,超过99%的云上的漏洞是由用户的错误配置或人为错误所导致的。
业界已经有数百家云安全公司提供安全工具不断发现云上的大量安全漏洞,而且这一数量还在递增。
但是面对海量的安全漏洞的所采取的修补行动往往是依靠人工的手段进行,一方面无法对安全漏洞进行有效分级,另一方面难以对发现的漏洞的修补任务进行准确、快速的归因并找到责任人,从而导致了已经发现的大量漏洞不能及时被修补。
基于云的攻击往往是分钟级发生,而云上漏洞的修补平均修补时间(MTTR)要数月甚至数年,显然这种云安全方法无法跟上云发展的速度。
DAZZ针对这一挑战给出了新的思路。其所推出的修补云通过消除手动修复过程中的安全人员的痛苦和低效率来改善云安全和开发团队的工作效率。该公司宣称其方法无需对架构进行任何更改,可以将MTTR提高90%,毫无疑问,这将是非常吸引人的。
如何通过自动化技术减少和解决告警疲劳,这是一个困扰云安全行业的难题。DAZZ有望通过其以往丰富的实践经验来实现突破,并将大幅提升云安全的整体效率,这将具有很大现实意义和基础性作用。
Endor Labs(美国):推出
OSS生命周期管理平台保护开源软件依赖项安全
关键词:Endor Labs 开源软件安全 供应链安全
2022年3月22日消息,美国初创开源软件安全公司Endor Labs凭借其开源软件依赖项生命周期管理平台而入围RSAC 2023创新沙盒十强。
公司:Endor Labs
创始人:Varun Badhwar 和Dimitri Stiliadis
成立:2021
领域:开源软件安全(OSS)
总部:美国
融资:2500万美元
摘要:
美国开源软件安全初创公司Endor Labs入选了RSAC 2023创新沙盒十强。Endor Labs 提供了一个开源依赖项生命周期管理平台,旨在解决软件供应链安全中最薄弱的环节:企业中开源软件(OSS)依赖项的安全问题。
它可以帮助开发人员减少处理安全问题的时间,并通过安全代码重用将更多时间用于加速开发。
该公司由行业资深专家Varun Badhwar和Dimitri Stiliadis共同创立,拥有一支世界级的静态分析专家所组成的工程团队,包括7名博士和来自Meta、Uber、Amazon和Microsoft的高级工程师。
该公司目前共获得了2500万美元融资。Lightspeed和Dell技术资本以及Palo Alto Networks, Zscaler, Zoom, Google等公司的30多名高管投资了该公司。
Endor Labs创始人团队
Endor Labs由来自Palo Alto Networks Prisma Cloud的高管 Varun Badhwar和Dimitri Stiliadis于2021年创立。该团队的核心成员包括:
Endor Labs 团队(2022年中)(来源:互联网)
Varun Badhwar,创始人兼CEO。曾创办RedLock/Prisma Cloud(被PANW收购)和CipherCloud(被Lookout收购)。另外他还是一些创业公司的天使投资人和网络安全保险公司Cowbell董事会成员。
Dimitri Stiliadis 博士,联合创始人兼CTO。曾创办Aporeto (被PANW收购后担任Palo Alto Networks的云首席技术官);他还是Nuage Networks的联合创始人兼首席技术官(被诺基亚收购),曾在贝尔实验室研究部任职。
Georgious Gousious,博士,首席研究员。Gousious是应用高级程序分析、数据科学和机器学习技术以提高开发人员生产力和运营效率的知名研究员和专家,获得了四项杰出论文奖。
Ron Harnik,营销副总裁, 负责公司产品营销。曾在多家初创公司担任领导职务,其中包括被Palo Alto Networks成功收购的PureSec;曾负责Prisma Cloud业务的产品营销。
Sriram Subramanian,印度研发中心负责人。在构建市场领先的软件产品方面拥有超过25年的经验,在云、安全和SaaS方面拥有深厚的专业知识。在加入Endor之前,Sriram是Citrix的工程副总裁。
Endor Labs融资情况
Endor Labs迄今已从Lightspeed Venture Partners、Dell Technologies Capital和Sierra Ventures等投资机构筹集了2500万美元,并获得了SVCI商业领袖的最新支持。
其中包括Palo Alto Networks的首席执行官Nikesh Arora;Zscaler首席执行官Jay Chaudhary;Netskope首席执行官Sanjay Beri;Rubrik首席执行官Bipul Sinha;Zoom首席运营官Aparna Bawa;和Atlassian前首席技术官Sri Viswanathan。有超过30家行业领先的CISO个人投资了该项目。
Endor Labs解决了哪些挑战
现代应用程序中80%的代码不是开发人员写的,而是通过开源软件包所依赖的代码构成, 可以说,在整个软件生命周期中都有开源组件。而且大多数都没治理。
据统计,平均而言,拥有10000名员工的企业和机构平均使用开发人员下载的40,000多个开源软件包,每个软件包可以引入另外77个依赖项。
这样就形成了一个巨大的、不可控制的开源代码依赖网络,既减缓了开发速度,还增加了多维度的攻击面。
通常95%的开源漏洞都存在于传递依赖项中。更重要的是,安全团队通常对代码的使用位置和使用方式知之甚少,因此当漏洞被披露时,确定是否受到其影响对安全团队而言就像大海捞针一样,很难快速准确的对其进行响应。
图B-1 开源软件依赖项关系示意图
通常,软件组合分析(SCA)工具会生成数以万计与OSS依赖性相关的告警。除了开发人员执行手动代码审查之外,没有好的方法来验证这些报告的漏洞(缺乏关于开发人员如何使用依赖项的上下文信息)。
因此,受影响依赖项的模糊性是关键挑战。根据在代码中实际使用依赖项的方式,开源组件中漏洞的普遍问题是,大多数组件(80%)不会影响软件开发人员直接使用的组件(依赖项),相反,这些漏洞会影响他们使用的依赖项的依赖性,这使得开发人员很难评估给定漏洞是否对他/她开发的特定软件真的很重要。
即使对于少数相关(20%)的组件更新也是有风险且不可预测的。在依赖数千个依赖项的大型组织中,无法了解代码的实际使用方式。
这意味着分析和跟踪这样常见的事情的潜在影响几乎是不可能的,开发人员难以做出正确的判断来选择正确的安全的开源软件,也失去了能够优先修复或检测恶意依赖项的能力,更不用说修补大规模漏洞了。这个问题在行业中非常普遍的存在着。
Endor Labs 解决方案
Endor Labs提供一个生命周期管理平台来解决软件供应链安全问题。它的解决方案包括开源软件(OSS)治理、漏洞优先级、软件材料清单(SBOM)管理和供应链检测。
Endor Labs可以帮助开发和安全团队能够通过安全地大规模评估、维护和更新依赖关系来最大限度地提高软件重用率。
该平台使用机器学习和人工智能技术来检测开源软件中的安全漏洞和风险,并提供相应的修复建议。该平台支持多种编程语言和应用程序框架,并与多个开源软件库和代码库集成。
Endor Labs通过超越传统的元数据和漏洞扫描方法,并使用程序分析和调用图来深入了解整个组织如何使用依赖关系来实现这一目标。
借助 Endor Labs,开发和安全团队现在能够降低供应链风险,同时通过OSS安全地加速开发[2]:
选择。每个依赖项都会根据质量、安全性、维护者活动和受欢迎程度获得分数。开发和安全团队现在拥有选择更好的依赖关系、整合版本和设置治理策略所需的信息。
1)完整的软件清单:企业通常有大约40,000 个直接依赖项,每个直接依赖项平均会带来 77 个额外的依赖项。
随着对 OSS 依赖性的日益依赖,这意味着整个组织中存在数以百万计的直接和传递依赖性。依赖关系图的复杂性使得响应问题、评估代码更新的影响以及采用有用的新依赖关系成为一项昂贵且耗时的工作。
Endor Labs为安全和开发部门提供他们需要的数据,以做出有关依赖项使用的高质量决策。全面了解存储库中的软件组件,并了解新依赖项和现有依赖项的依赖关系图。轻松回答有关在哪里、如何以及由谁使用依赖项的问题。
2)选择更好的依赖项:多数组织使用数以千计的 OSS 依赖项,而开发和安全团队无法了解哪些包和版本已经在公司内流行。
依赖关系切换或一旦 OSS 被放弃后必须在内部维护,运营开销、成本和风险通常会增加。这些风险和成本可以通过从一开始就选择更高质量的依赖项来减轻。
3)自动化OSS治理:如今,大多数组织都依赖开源 (OSS) 包来加快开发步伐。OSS 治理是最大化软件重用并确保所选包安全、可持续并实现开发团队所需的功能使用的过程设置策略。
根据领先的风险指标(例如安全评分、流行度、活动和质量)设置治理策略。在衡量风险时超越已知漏洞,并制定降低安全和运营风险的政策,并减少OSS的潜在质量问题。简化新依赖项的审批流程,以提高开发人员的速度并减少安全与开发团队之间的摩擦。
安全。Endor Labs超越已知漏洞,为安全团队提供了一种衡量安全和运营风险的方法。得益于对跨存储库的依赖使用情况的深入了解,安全团队能够确定实际可访问和可利用的漏洞的优先级,检测下一代供应链攻击,并将误报减少高达80%。
1)漏洞优先级:如今,随着每个依赖项都被扫描,SCA 工具将开发人员淹没在安全告警的海洋中,而没有了解代码的实际使用情况。这导致安全和开发团队来回调查所报告的漏洞实际影响的内容。
正因为如此,无数的周期被浪费在寻找和更新非关键依赖项上,技术债务优先于增值功能;Endor Labs 检测易受攻击的依赖项或方法是否实际可访问。通过对实际有影响的漏洞进行优先排序,您可以减少告警疲劳,减少技术债务,并专注于修复可能影响您业务的威胁。
2)SBOM管理:软件物料清单或 SBOM 是在我们的软件供应链中建立透明度和信任的一种方式。
SBOM 是一个工件,它列出了用于创建软件应用程序的软件组件。自从白宫发布了一项以 SBOM 为特色的行政命令后,它就风靡一时。
但重要的是要了解 SBOM 只是达到目的的一种手段,并且只有在它们包含高质量数据、可以轻松存储和分析并提供有关可利用漏洞的信息时才有用;Endor Labs 超越了元数据扫描,并使用调用图来映射您的依赖关系。
此上下文允许您生成 SBOM,它不仅描述任何给定包的所有直接和传递依赖项,而且了解是否实际上可以访问易受攻击的依赖项。
3)供应链检测与相应:软件供应链攻击已经超越了利用已知漏洞的范围。攻击者正在利用对 OSS 日益增长的依赖。
他们的目标是维护者,以及使用 OSS 的方法。仅依靠已知漏洞,将错过诸如域名仿冒和依赖混淆之类的攻击,以及任何对受信任的 OSS 包的恶意操作。
使用Endor Labs检测下一代攻击,例如域名仿冒和依赖性混淆,并报告 NIST C-SRM 和 SLSA 等标准。监控可能被已知漏洞遗漏的攻击媒介。通过查明易受攻击包的使用位置以及依赖它的应用程序来快速响应问题。
维护。通过消除未使用和未维护的依赖项,组织能够减少其整体攻击面并优化应用程序性能。
1)减少攻击面:随着 OSS 采用率的增长,未使用和冗余依赖项的数量也在增加。这些可能是同一个包的多个版本,或者是被放弃或从未使用过的依赖项。
当我们允许这些依赖关系持续存在时,它们不仅会损害性能,而且还可能成为恶意活动的切入点;使用Endor Labs删除未使用的依赖项不仅可以最大限度地降低风险,还可以降低运营成本并提高应用程序性能和缩短构建时间。
Endor Labs 帮助您了解您的软件组件是否易受攻击、不受支持、过时或根本未使用。通过删除这些依赖项并整合版本,您可以有效地减少攻击面。
2)检测未维护的依赖项。未维护的依赖项通常是已被放弃或很少收到更新的开源项目。
这成为一个问题,因为代码变得与其他依赖项的新版本不兼容。未维护的依赖项也成为安全风险,因为没有针对漏洞发布修复程序。
使用Endor Labs通过检测您的软件是否不受开源社区支持或维护来消除潜在风险。这为您提供了决定是否应删除、内部维护或替换依赖项的工具。
3)优先考虑操作风险:安全风险评估通常是针对已知漏洞(这是一个问题)进行的。
但操作风险往往被忽视。操作风险表示由于更新而发生的任何潜在中断,以及响应安全问题的开销。
在 Log4j 的案例中,一个政府机构报告称在响应上花费了33,000小时,这导致了严重的服务延迟。
使用Endor Labs检测并显示更新后对下游依赖项的潜在破坏性更改。Endor Labs 还为每个依赖项提供质量分数。这有助于做出明智的决策,最大限度地减少未来的运营风险,例如补丁不可用、缺乏社区支持或维护人员不可信。
目前,Endor Labs的产品主要面向企业客户,涵盖多个行业,如金融、电子商务、健康保健等。该公司的客户包括多家知名企业,如贝莱德(BlackRock)、希望金融(SoFi)和Airbnb等。
Endor Labs在其领域内的竞争对手包括Snyk、WhiteSource和Sonatype等公司,它们也提供开源软件安全检测和修复服务。
然而,Endor Labs与这些竞争对手的区别在于其使用了机器学习和人工智能技术,可以更快地检测和修复潜在的安全漏洞和风险。此外,Endor Labs的平台还具有高度可定制性和易用性,可以根据客户的特定需求进行定制和集成。
市场情况
开源软件已成为数字经济的基础,也在为我们的数字世界提供动力。2022年,Synopsys 共审计了1,703个代码库,其中96%包含开源代码。
自2019 年以来,OSSRA的所有17个行业的高风险漏洞至少增加了42%,其中零售和电子商务行业的增幅飙升至+557%,计算机硬件和半导体行业的增幅高达+317%(如图B-2所示)。
图B-2 行业开源软件高风险漏洞增加比例
在包含安全和操作风险评估的1,481个经过审计的代码库中,84% 的代码库至少包含一个漏洞。48% 包含至少一个高危漏洞,仅比去年下降2%。但可以看出,漏洞补丁修补仍然是一个挑战。
今年,54%的经审计代码库包含有许可证冲突的代码库,比去年增加了2%。
虽然高风险漏洞有所减少,但事实仍然是,超过一半的审计代码库包含许可冲突,近一半包含高风险漏洞。更令人不安的是,在包含风险评估的1,703个代码库中,91%包含过时版本的开源组件。也就是说,更新或补丁可用但未应用。
图B-3补丁版本情况统计
91%中的很大一部分可能是由于DevSecOps团队没有意识到有更新版本的开源组件可用。
除非一个组织对其代码中使用的开源保持准确和最新的清单,否则该组件可能会被遗忘,直到它变得容易受到高风险攻击。然后争先恐后地确定它的使用位置并对其进行更新。
这正是Log4J发生的情况,一年多后,它仍然存在。尽管它受到了媒体的关注,并且组织可以采取多种途径来确认它在他们的代码库中的存在(并修复它),但 Log4J 仍然存在。在 5% 的代码库总数和 11% 的经审计的 Java 代码库中发现了易受攻击的 Log4J 版本。
根据linux基金会的一份报告,只有49%的组织拥有涵盖(OSS)开发或使用的安全策略。有59%的组织报告说他们的OSS在某种程度上是安全的或高度安全的;只有24%的组织对其直接依赖项的安全性充满信心。
总 结
开源软件已经是现代应用程序的关键组成部分。它开创了软件开发的新模式,促进了开发人员社区内的自由交流与现代软件开发的持续创新,并加速软件开发人员构建软件的速度。
今天,大多数公司如果不严重依赖开放源码软件就无法在市场上竞争。据《2022年开源安全报告》显示,大多数现代应用程序包含高达90%的代码来自开源社区[3]。
从产品属性来说,开源软件和其它公共物品具有一定的相似性。也就是意味着任何人都可以使用。
但是,由于在开源领域 “搭便车”问题的普遍存在,这必然导致大多数用户所遇到的软件漏洞问题将会花费数月或更长时间解决。
另外,许多组织仍然不完全了解开源包中潜在漏洞的范围,并且没有制定有效保护其应用程序的政策。
传统的开放源码软件安全方法起源于合规性,但是CVE只是一个攻击的媒介,而且是一个滞后的风险指标。使用开源包需要一种新的方式来考虑开发人员的安全性,而许多组织尚未采用这种方式。
Endor Labs的平台让安全和开发团队对如何在整个组织中使用依赖项有了更好的了解。Endor Labs这种依赖项管理的生命周期方法意味着在整个组织内重用软件变得比以往任何时候都容易。对于提高了开发和安全团队的生产力,降低供应链安全风险提供了很好的思路。
当然,要解决开源供应链安全问题,仅靠一家公司是不够的,需要联合政府、产业、社区、生态和开发者共同努力,其中政府的监管和率先垂范并推动开源软件安全的最佳实践作用将非常重要。
扫码关注360天枢智库