Uygulama Güvenliği ve Çevrimiçi Sahtekarlık, Sahtekarlık Yönetimi ve Siber Suç, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Edinme, Socket’in Güvenlik Yığınına Uzman Ekibi, Erişilebilirlik Analizi Teknolojisi ekler
Michael Novinson (Michaelnovinson) •
23 Nisan 2025
Socket, Plastik Oyuncak Bloğu Giant LEGO’nun risk sermayesi kolunda eski bir yönetici tarafından yönetilen Danimarka erişilebilirlik analizi girişimini satın aldı ve girişimin teknolojisinin geliştiriciler ve güvenlik ekipleri arasındaki uyarı yorgunluğunu azaltacağını söyledi.
Ayrıca bakınız: Para katırları finans kurumunuza sızıyor. Onları durdur.
San Francisco merkezli yazılım tedarik zinciri güvenlik satıcısı Aarhus, Danimarka merkezli Coana’yı satın almasının, güvenlik açığı taramasında uyarı yorgunluğu ve yanlış pozitifler etrafında müşteri ağrı noktalarını ele alacağını söyledi. Kurucu ve CEO Feross Aboukhadijeh, Coana’nın gücünün kontrol akışında bulunduğunu ve grafik analizinde bulunduğunu ve güvenlik ekiplerinin hangi sorunların gerçekten sömürülebilir olduğunu fark etmesine izin verdiğini söyledi.
“Dışarıdaki çoğu çözüm harika bir iş çıkarmıyor” dedi. “Ya son derece yavaş bir performansa sahipler, bu yüzden büyük bir kod tabanındaki büyük bir şirkette sonsuza dek sürmeden gerçekten sunamazsınız. Ya da gerçekten harika bir iş yapmadıkları doğruluk sorunlarınız var. Coana ile tanıştığımızda, bu sorunların hiçbiri olmadığını hissettik. Teknik açıdan son derece etkileyici bir şey inşa ettiler.”
Coana, 2022 yılında kuruldu, 10 kişi istihdam edildi ve Ocak 2024’te Sequoia Capital’den 1.6 milyon dolarlık ön fonu topladı. Şirket, daha önce Lego Ventures ve Biyometri şirketinde Mequilium’da Mequilium’da Mequilium’a liderlik eden dört buçuk yılda bir kıdemli girişim olarak yaklaşık iki yıl geçiren Anders Søndergaard tarafından başlatıldı. Soket, 40 milyon dolarlık Seri B ile açık kaynaklı güvenliği hızlandırıyor).
Uyarılara daha iyi bir yaklaşım
Güvenlik ekipleri, günümüzde güvenlik açığı uyarıları tufanı tarafından bunalmış durumda, uyarıların% 80’inin kod tabanında teknik olarak mevcut olmasına rağmen çalışma zamanında sömürülemeyen sorunları belirliyor. Erişim analizi, bir saldırganın savunmasız bir kod yolunu gerçekçi bir şekilde tetikleyip tetikleyemeyeceğini belirlemek için kontrol akışı ve çağrı grafik analizini kullanarak kodun gerçekte nasıl davrandığını inceler.
Aboukhadijeh, kod tabanında, uygulamanın nasıl yapılandırıldığı için bir saldırgan tarafından tetiklenemeyen veya ulaşılamayan birçok güvenlik açıkının olduğunu söyledi. Erişilebilirlik analizi olmadan, ekipler tüm güvenlik açıklarını eşit derecede tehlikelimiş gibi ele almak zorunda kalırlar, bu da uyarı yorgunluğuna ve boşa harcanan mühendislik çabalarına neden olur. Erişilebilirlik analizi, ekiplerin gerçek riski üzerine odaklanmasına izin vererek ulaşılamayan tehditleri filtreler.
Aboukhadijeh, Bilgi Güvenliği Medya Grubuna verdiği demeçte, “Temel olarak, bir güvenlik açığının gerçekten bir uygulamayı etkileyip etkilemeyeceğini anlamak için çalıştırıldığında kodun ne yapacağını analiz ediyor.” Dedi. “Bunun önemli olmasının nedeni, tüm farklı güvenlik açığı tarayıcıları tarafından bildirilen güvenlik açıklarının yaklaşık% 80’inin yanlış pozitif olması, yani güvenliği etkilemeyecekleri.”
Erişilebilirlik analizi alanındaki çoğu araç, büyük depoları analiz etmek için saatler hatta günler süren – ya da düşük hassasiyetten ve yanlış sonuçlara yol açan son derece yavaş performansdan muzdarip olduğunu söyledi. Soket, öncüler tarafından statik ve kontrol akışı analizinde inşa edildi ve Aboukhadijeh, soketin gördüğü en ölçeklenebilir ve kesin erişilebilirlik çözümü sunduğunu söyledi.
Aboukhadijeh, “Bu sadece teknoloji ile ilgili değil,” dedi. “Coana’nın arkasında çok etkileyici bir ekip var. Şirket, dünyanın en iyi statik analiz uzmanlarından bazıları tarafından kuruldu.”
Aboukhadijeh, her kullanıcının kendi ortamlarında ağır taramaları çalıştırmasını gerektiren geleneksel yaklaşımların aksine, soket açık kaynak bağımlılıklarını önceden analize edeceğini ve bir müşteri github ortamlarını birbirine bağladığı anda gerçek zamanlı bilgiler sağlayacağını söyledi. Bu, uzun CI/CD boru hatlarına veya kaynak ağır tarama ihtiyacını ortadan kaldırır, değerleme süresini azaltır ve evlat edinme bariyerini düşürür.
Aboukhadijeh, “Müşteri çevrelerinde coana çalıştırmasa bile, erişilebilirlik analizinin faydalarından yararlanabilirler.” Dedi. “Temel olarak, sonuçları dünyadaki tüm açık kaynak kodlarına dayanarak önceden hesaplıyoruz.”
Soket, erişilebilirlik filtrelemesi, geliştirici ve güvenlik ekibi zamanının kaydedilmesi ve Coana ediniminin etkinliğini ölçmek için bu zaman tasarrufunun dolar değerinde neye eşit olduğunu izleyecektir. Yanlış pozitifleri ve alakasız biletleri ortadan kaldırarak, soketin sadece güvenlik verimliliğini değil, aynı zamanda mühendislik ve güvenlik ekipleri arasındaki ilişkiyi de artırabileceğini söyledi.
Aboukhadijeh, “2. çeyrek sonunda, bu tüm müşterilerimiz mevcut olacak ve bu yüzden kaçının kullandığını izleyeceğiz ve bundan faydalanacağız ve bunu ölçmeye çalışıyoruz.” Dedi.