GitGuardian, Yazılım Kompozisyon Analizi (SCA) modülünü yayınladı. SCA, yazılım bağımlılıklarında güvenlik açığı tespitini, önceliklendirmeyi ve iyileştirmeyi otomatikleştirerek kuruluşların kod tabanının sağlığını doğrudan etkiler. Kapsamlı SBOM (Yazılım Malzeme Listesi) oluşturma gibi ek yetenekleri, kod lisanslamayı ve mevzuat uyumluluğunu sağlar.
Açık kaynaklı yazılım, geliştiricilerin geniş bir yeniden kullanılabilir bileşen havuzuna erişmesini sağlayarak yazılım geliştirmeyi dönüştürdü. Bununla birlikte, açık kaynak bağımlılıkları kuruluşlar için önemli bir güvenlik sorumluluğu oluşturabilir; çünkü geliştiriciler genellikle topluluk tarafından doğrulanan projelere bunları kapsamlı bir şekilde değerlendirmeden güvenirler. Ayrıca, son ABD ve Avrupa hükümet düzenlemeleri nedeniyle hukuk ekipleri geliştiricilerden yazılım lisanslama ve bileşen kullanımı konusunda şeffaf olmalarını da talep ediyor.
GitGuardian CEO'su Eric Fourrier, “Gömülü bağımlılıklarınızdan biri savunmasız hale gelirse patlama yarıçapı devasa olabilir” dedi. “Kod projesi başına ortalama 500'den fazla doğrudan ve geçişli bağımlılık göz önüne alındığında, proaktif bir stratejiye sahip olmak çok önemlidir. Sola kaymalı ve tüm yazılım tedarik zincirinizin izlenmesini uygulamayı düşünmelisiniz. Gitguardian SCA, otomatik bağlam tabanlı güvenlik açığı önceliklendirmesi ve eyleme dönüştürülebilir iyileştirme rehberliği sunar. Verimli araçlar olmadan ekibiniz, kritik olaylar ele alınmadan kalırken küçük sorunlar üzerinde değerli zamanını boşa harcayacaktır.”
GitGuardian SCA, DevSecOps ortamlarında kullanılmak üzere özel olarak tasarlanmıştır. GitGuardian'ın kod güvenliği platformuna yapılan en son ekleme, güvenlik ve geliştirici ekiplerini, ekipler arası işbirliğinden, olay görünürlüğünden ve bağlamdan yararlanan birleşik bir güvenlik açığı iyileştirme çözümüyle donatıyor.
Güvenlik mühendislerinin güvenli olmayan bağımlılıklara sahip tüm uygulamaları hızlı bir şekilde tanımlamasına, olayları önem derecesine göre otomatik olarak önceliklendirmesine ve geliştiricilerin bunları düzeltmesini istemesine olanak tanır. Yazılım mühendislerine, güvenlik duruşlarını yükseltirken teslimat hızını ve çevikliğini korumaları için iyileştirme rehberliği sağlanır.
SCA ayrıntılı analizleri, uygulama güvenliği ekiplerinin güvenlik açıklarına maruz kalma durumlarını izlemelerine ve iyileştirme performanslarını takip etmelerine olanak tanır. GitGuardian, kolaylaştırılmış bir geliştirme süreci için darboğazları belirleme ve ortadan kaldırma konusunda onlara güç verir.
Ayrıca SCA modülü, yazılım tedarik zincirindeki yasal riskleri değerlendirir ve iletir. Bu bilgiler, kuruluşların fikri mülkiyet haklarına yönelik tehditleri önlemek ve lisans ve güvenlik politikalarına uygunluğu sağlamak açısından hayati öneme sahiptir.
Yazılımla ilgili sürekli gelişen hükümet düzenlemelerine uymak için hukuk danışmanı, uygulamaların açık kaynak ve üçüncü taraf bileşenlerinin yanı sıra bunların iç içe geçmiş bağımlılıklarından oluşan kapsamlı bir SBOM oluşturabilir.
GitGuardian'ın sola kaydırma uygulamalarını sürekli olarak desteklemesi, yürütme hızından ödün vermeden yazılım ve güvenlik mühendisi ekiplerinin uzlaştırılmasına yardımcı olur. GitGuardian, kuruluşların saldırı yüzeyini azaltmaya yönelik devam eden çabalarında, SCA yeteneklerini CLI aracı ggshield'ına kadar genişletiyor. Yerel geliştirici ortamlarından sürekli entegrasyon (CI) ardışık düzenlerine kadar geliştirme sürecinin her adımına doğrulama katmanları ekler.
“Ay sonuna kadar iki dili daha destekleyeceğiz: PHP ve Rust. Ama burada durmayacağız. Yol haritasının bir sonraki adımı, bağımlılık karışıklığını ve yazım hatalarını önlemek için kötü niyetli bağımlılığı tespit etmektir. AWS anahtarlarını çalmak için Python paketi 'ctx' ele geçirildiğinde olan da buydu. Ayrıca düzeltmeye öncelik vermek için daha fazla boyut üzerinde çalışıyoruz; örneğin güvenlik açıklarından yararlanılması olasılığı gibi,” diye ekledi Eric.
Kuruluşların %80'i sık sık kod yayınlıyor ancak %30'dan azı, genellikle kapsamlı bir güvenlik platformunun bulunmaması nedeniyle kodu sürekli olarak denetlemektedir.
GitGuardian'ın ürün paketi, Sır Tespiti, Genel İzleme, Yazılım Bileşimi Analizi, Kod Güvenliği Olarak Altyapı ve Honeytoken dahil olmak üzere bir dizi güvenlik aracını entegre ederek bu açığı giderir.