Der israelische Sicherheitsanbieter Checkmarx hat heute die Übernahme von Dustico bekannt gegeben, einer SaaS-basierten Lösung, die Schadcode und Hintertüren in Open-Source-Software-Supply-Chains erkennt.
Im Zuge der Übernahme wird Checkmarx seine Application-Security-Testing-Lösungen mit der Verhaltensanalysetechnologie von Dustico kombinieren. Kunden erhalten damit einen ganzheitlichen Überblick über das Risiko, die Reputation und das Verhalten von Open-Source-Paketen und stellen so die Weichen für eine zuverlässige Abwehr von Supply-Chain-Angriffen. Die Technologie von Dustico geht über herkömmliche Quellcode-Analysen hinaus und setzt auf einen dreistufigen Ansatz zur Bewertung des Verhaltens und der Reputation von Open-Source-Paketen: Zuerst untersucht die Lösung die Vertrauenswürdigkeit des Paket-Anbieters und der beteiligten Mitglieder der Open-Source-Community. Dann wird der Status der Pakete analysiert, um einen Überblick über deren Update-Prozesse und die Wartungsfrequenz zu erhalten. Und schliesslich scannt die leistungsstarke Verhaltensanalyse-Engine von Dustico das Paket auf verborgenen Schadcode, einschließlich Hintertüren, Ransomware, mehrstufigen Angriffen und Trojanern. Im Zusammenspiel mit den Ergebnissen der AST-Analysen von Checkmarx liefern diese Erkenntnisse Unternehmen und Entwicklern einen detaillierten, einheitlichen und effektiven Ansatz für das Management der mit Open Source verbundenen Risiken und der davon betroffenen Supply Chains.