Uygulama Güvenliği, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) Yönetimi
Satın Alma, Gelişmiş Uygulama Güvenliği ve Azalan Yanlış Pozitifler Vaat Ediyor
Michael Novinson (MichaelNovinson) •
22 Mart 2024
GitLab, uygulama katmanı risk tespitini geliştirmek ve yanlış pozitifleri azaltmak için Imperva ve Check Point'te deneyimli bir kişi tarafından yönetilen bir statik uygulama güvenlik testi girişimini satın aldı.
Ayrıca bakınız: Finansal Hizmetler İçin Siber Güvenlik En İyi Uygulamaları
San Francisco merkezli DevSecOps merkezi, İsrail merkezli Oxeye Tel Aviv'i, uygulama katmanı risklerini tanımlama ve çözme konusundaki farklı yaklaşımından dolayı övdü ve teknolojisinin, yazılım geliştirme yaşam döngüsü boyunca statik uygulama güvenliği testlerine olanak sağlayacağını söyledi. GitLab, 2017 yılında kendi SAST'ını başlattı ve Oxeye'nin yeteneklerinin algılamayı iyileştireceğini ve güvenlik açığı yönetimini kolaylaştıracağını söyledi.
Ürün Yönetimi Direktörü Sarah Waldner, Information Security Media Group'a bir e-postada şunları söyledi: “Oxeye'nin teknolojisi GitLab'ın SAST aracılığıyla yazılım zayıflıklarını tespit etme yeteneğini geliştirecek.” “Oxeye ile yapıcı bir ilişki kurabildiğimiz ve artık ekiplerimizle ürünlerimizi bir araya getirebildiğimiz için çok mutluyuz.”
GitLab Oxeye'ı Nasıl Entegre Etmeyi Planlıyor?
Satın alma şartları açıklanmadı ancak Calcalist, GitLab'ın Oxeye için 30 milyon ile 40 milyon dolar arasında bir ücret ödediğini bildirdi. Şirket, Kasım 2021'de MoreVC'den sağlanan 5,3 milyon dolarlık tohum finansmanıyla gizlilikten çıktı. Oxeye bugün 30 kişiyi istihdam ediyor ve kuruluşundan bu yana, altı yılını Imperva satış mühendisi olarak ve üç yılını Check Point için Ar-Ge yaparak geçiren Dean Agron tarafından yönetiliyor.
Waldner, Oxeye'nin güvenlik açıklarını koddan buluta kadar izleme yeteneğinin onu rakiplerinden ayırdığını ve geliştirici ve güvenlik ekiplerine en çok istismar edilebilecek riskleri hızlı bir şekilde tespit edip ele almaları için güçlü bir yol sağladığını söyledi. Waldner'a göre GitLab, şirketin vizyonu ve müşteri ihtiyaçları ile uyumlu yenilikçi teknolojiler için düzenli olarak piyasayı araştırıyor.
Artık satın alma kapandığına göre Waldner, Oxeye'yi GitLab'ın SAST ürününe entegre etme çalışmalarının hemen başlayacağını söyledi. Waldner, bir yıl içinde Oxeye'nin yeteneklerinin GitLab'ın Python, Go, Java ve JavaScript için SAST taramasını artırmasını ve bu süreçte yinelemeli iyileştirme için kilometre taşları belirlemesini bekliyor.
Waldner, “Oxeye'nin yeteneklerini GitLab'a entegre etmek, müşterilerimizin güvenlik ihtiyaçlarını karşılamaya yardımcı olmak için bu görev açısından kritik ürün alanını geliştirecek” dedi. “Önümüzdeki yıl içinde, geliştirilmiş SAST taramasını genel olarak dört dilde kullanıma sunmayı umuyoruz.”
GitLab Müşterileri Bu Satın Almadan Nasıl Yararlanacak?
Waldner'a göre Oxeye'nin satın alınması, GitLab'ın motorunda işlevler arasında ve dosyalar arasında prosedürler arası kontroller gerçekleştiren yeni bir program analizi türü yürütmesine olanak tanıyacak. Yeni yeteneğin çok daha doğru ve uygulanabilir bir güvenlik bulguları listesi sunacağını söyledi.
Waldner, GitLab ve Oxeye'nin mevcut müşterilerinin daha doğru ve eyleme geçirilebilir bir güvenlik bulguları listesinin yanı sıra daha az yanlış pozitif ve daha fazla gerçek pozitif tespitten yararlanacağını söyledi. Birleşen şirket, güvenlik ve uyumluluk yeteneklerini geliştirmeye, GitLab'ın uygulama güvenliği testi pazarındaki konumunu güçlendirmeye ve müşterilerin daha verimli bir şekilde güvenli yazılım oluşturmasına yardımcı olmaya odaklanacak.
Waldner, “Oxeye'nin satın alınması, uygulama güvenlik testi özelliklerimizin daha da fazla müşterinin daha güvenli yazılımı daha hızlı oluşturmasına yardımcı olmasını sağlama konusundaki kararlılığımızı gösteriyor” dedi.
Oxeye, GitLab'ın dinamik uygulama güvenliği testi, bulanıklık testi, kapsayıcı taraması ve bağımlılık taraması ile ilgili mevcut yeteneklerini tamamlayacak ve bunların tümü kullanıcıların güvenli uygulamalar sunmasına yardımcı olmayı amaçlıyor. GitLab'ın DevSecOps platformu, müşterilerin yazılımlarındaki güvenlik açıklarını daha erken bulup düzeltmelerine veya yazılım geliştirme sürecindeki verimsizlikleri tamamen ortadan kaldırmalarına yardımcı olmayı amaçlıyor.
GitLab, geçen yılın statik uygulama güvenliği testi Forrester Wave'de yarışmacı olarak, geçen yılın yazılım bileşimi analizi Forrester Wave'de ve geçen yılın uygulama güvenliği testi Gartner Magic Quadrant'ta yarışmacı olarak kabul edildi.