Selon Gartner®1, « D’ici 2025, 60% des entreprises dans le monde renforceront leur pipelines de livraison logicielle pour se protéger des attaques ciblant leurs chaînes d’approvisionnement ». « Les hackers orientent leur attention sur la chaîne d’approvisionnement logicielle en ciblant les environnements open source, traditionnellement approuvés par la communauté mondiale des développeurs », déclare Frédéric Patouly, Regional Director France & Benelux, Checkmarx. « Avec une approche axée sur les développeurs, Checkmarx détecte rapidement les attaques visant la chaîne d’approvisionnement dans les composants open source, en tirant parti d’une suite complète de modèles d’intelligence comportementale et de Machine Learning ainsi que de renseignements sur les menaces à l’échelle mondiale. »

Intelligence sur les menaces

Au cours des mois précédents, les chercheurs en sécurité de Checkmarx ont identifié des centaines de librairies open source malveillantes. Des articles mettant en lumière les trois principales techniques de compromission – confusion de dépendance, typosquatting et chainjacking – sont disponibles sur le blog Checkmarx. En outre, un nouveau rapport complémentaire mettant en évidence les tendances émergentes en matière de librairies open source malicieuses est disponible sur lien suivant.

Fonctionnant de concert avec la solution d’analyse de code open source (SCA) de Checkmarx qui dresse un inventaire de tous les composants open source utilisés dans les produits logiciels, y compris les dépendances directes et transitives, Checkmarx Supply Chain Security identifie les anomalies des projets open source tout en analysant la réputation des contributeurs. Elle surveille également directement le comportement des composants via une analyse au sein d’une sandbox. Résultat : la nouvelle solution offre une analyse et une visibilité complète de la chaîne d’approvisionnement logicielle et répond aux besoins de sécurité applicative des organisations.

Sécurité complète de la chaîne d’approvisionnement logicielle pour le développement d’applications modernes

Checkmarx Supply Chain Security permet aux organisations d’accélérer leur développement applicatif en s’appuyant sur des logiciels open source sécurisés grâce à une suite complète de fonctionnalités éprouvées :

• La santé de la nomenclature logicielle (SBOM). Combinée à la création de l’inventaire des composants logiciels, cette fonctionnalité fournit des informations éclairées sur le composant open source ainsi que la communauté dont il est issu.
• La détection de composants malveillants identifie les attaques de confusion de dépendance - également connues sous le nom d’attaques de substitution de la chaîne d’approvisionnement-, le typosquattage, le chainjacking et autres activités et paquets malveillants.
• La réputation du contributeur. Cette fonctionnalité évite d’analyser manuellement la réputation du code source tiers utilisé et permet de rétablir la confiance dans la provenance des paquets open source.
• L’analyse du comportement est une analyse statique et dynamique dans une sandbox ou un environnement d’exécution cloisonné pour observer la façon dont le code s’exécute. Une analyse approfondie des paquets de code, permet de supprimer toute ambiguïté tout en renforçant la défense de l’entreprise contre les menaces furtives.
• Le traitement temps réel des résultats met à jour en continu les recherches sur les menaces identifiées par Checkmarx et maintient une base de données réputationnelle et de vulnérabilités opérationnelle pour une utilisation client en toute confiance.

Checkmarx Supply Chain Security est d’ores et déjà disponible.

1 Gartner, Predicts 2022 : Modernizing Software Development is Key to Digital Transformation, by Manjunath Bhat, Mark Horvath et al., 3 December 2021. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved