3. Taraf Risk Yönetimi, Uygulama Güvenliği, Yönetişim ve Risk Yönetimi
Phylum’un Ürünü, Kötü Amaçlı Açık Kaynak Paketlerinin Gerçek Zamanlı Tespiti Sağlıyor
Michael Novinson (MichaelNovinson) •
7 Ocak 2025
Veracode, kötü amaçlı paketlerin gerçek zamanlı olarak tespit edilmesine yardımcı olmak için eski bir Hava Kuvvetleri bilgisayar bilimcisi tarafından yönetilen Denver bölgesinde bir yazılım tedarik zinciri girişimini satın aldı.
Ayrıca bakınız: İsteğe bağlı | Yapay Zeka Ekosistemini Anlamak: 2024’te Yapay Zeka Destekli Uygulamaların Güvenliği Nasıl Sağlanır?
Veracode Baş Ürün Sorumlusu Ravi Iyer, Boston bölgesi uygulama risk yönetimi sağlayıcısı, SolarWinds kampanyaları gibi artan yazılım tedarik zinciri saldırılarının, güçlü bir güvenlik açıkları ve istismar veritabanı gibi proaktif önlemlerin yanı sıra gerçek zamanlı izleme yetenekleri gerektirdiğini söyledi. Phylum’un algılama yeteneklerinin Veracode’un yazılım bileşimi analiz platformuna entegre edileceğini söyledi.
Iyer, “Giderek daha fazla yazılım açık kaynakla yazılıyor ve kötü amaçlı paketler geliyor” dedi. “Bu, birçok uygulamanın ve şirketin riskini tehlikeye atan devasa bir saldırı vektörü haline geldi. Bunun, yazılım kompozisyonu teklifimiz için kritik bir yetenek olduğunu gördük ve alanda hızlı bir satın alma yapmanın müşterilerimiz ve onların müşterileri için faydalı olacağını hissettik. genel güvenlik.”
2020 yılında kurulan Phylum, 14 kişiyi istihdam ediyor ve 19,5 milyon dolarlık dış finansman topladı; en son Mayıs 2022’de ClearSky liderliğindeki 15 milyon dolarlık A Serisi finansman turunu tamamladı. Şirket, kuruluşundan bu yana, iki yılını Sony’de kırmızı takım geliştiricisi olarak, üç yılını Hava Kuvvetleri bilgisayar bilimcisi olarak ve altı ayını Leidos’ta kıdemli sistem yöneticisi olarak geçiren Aaron Bray tarafından yönetilmektedir (bkz: Yapay Zeka Çağında Uygulama Güvenliğinde Uzmanlaşma Konusunda Veracode CEO’su).
Tedarik Zinciri Saldırılarındaki Artışın Sebebi Ne?
Saldırganların sistemlere sızmak ve istihbarat toplamaktan finansal hırsızlığa kadar çeşitli hedeflere ulaşmak için kısa ömürlü, hedefli kampanyalar kullanması nedeniyle, ulus devletin katılımı tedarik zincirinin güvenliğini sağlamanın daha da karmaşık hale gelmesine neden oldu. Açık kaynak ortamlarında tespit edilen kötü amaçlı paketlerdeki hızlı artış, aciliyetin bir örneğini oluşturuyor; rakam üç ayda bir birkaç binden son 90 günde 10.000’in üzerine çıktı.
Bray, Information Security Media Group’a “Artık birkaç Kuzey Kore kampanyası yürütüyoruz” dedi. “Ve Kuzey Kore kampanyalarında aradıkları şey sadece istihbarat değil. Kripto para birimini ve diğer şeyleri çalmak için peşinde oldukları bir tür finansal motivasyon da var.”
Veracode’un Phylum’u satın alma kararı, gelişmiş tedarik zinciri güvenliği yeteneklerini pazara daha hızlı sunma ihtiyacından kaynaklandı. Benzer bir aracı şirket içinde oluşturmak zaman alıcı olurdu ve Veracode’un rakiplerinin gerisinde kalmasına neden olabilirdi. Phylum’un kötü amaçlı paketleri geniş ölçekte tespit etme yeteneği, düşük hatalı pozitif oranıyla birleştiğinde, Veracode’un SCA portföyünü geliştirme misyonunu tamamlıyor.
Iyer, Information Security Media Group’a şunları söyledi: “Başlangıçta bunu kendi başımıza yapmayı düşünüyorduk, ancak daha hızlı bir pazara sunma süresi istiyorduk ve bu da onu kendi başımıza oluşturmanın bunun için çok yavaş olacağı anlamına geliyordu.” “Bu yüzden Phylum’a bakmaya gittik.”
Phylum’un gücü, kötü amaçlı yazılımları kataloglayan bir veritabanı tarafından desteklenen gelişmiş makine öğrenimi modellerini ve buluşsal yöntemleri kullanarak kötü amaçlı paketleri gerçek zamanlı olarak tespit etme ve analiz etme yeteneğinde yatmaktadır. Ürün, büyük hacimli bağımlılıklarla uğraşan kuruluşlar için çok uygundur ve Veracode’un güvenlik açıklarını ve lisans uyumluluğu sorunlarını belirlemeye odaklanan mevcut SCA araçlarını tamamlar.
“Açık kaynak ekosistemine geniş ölçekte bakmamıza ve analiz etmemize olanak tanıyan geniş bir toplama platformu oluşturduk ve paketlerdeki risk göstergelerini alıp hizmet verebilecek buluşsal yöntemleri, analizleri ve makine öğrenimi modellerini kodlayabilen yetenekli bir araştırma ekibimiz var. neredeyse gerçek zamanlı” dedi. “Bu, müşterilerin şüpheli paketleri veya potansiyel sorunları olan paketleri önceden taramasına izin vermemize olanak tanıyor.”
Veracode ve Phylum Nasıl Bir Araya Gelecek?
Entegrasyon süreci, Phylum’un veritabanını ve algılama araçlarını Veracode’un mevcut SCA iş akışlarıyla birleştirmeyi içerecek ve bu da müşterilerin birleşik bir güvenlik platformundan yararlanırken kötü amaçlı paketleri daha etkili bir şekilde tanımlamasına ve engellemesine olanak tanıyacak. Iyer, Veracode’un başlangıçta finans gibi sektörlerdeki mevcut müşteri tabanına odaklanacağını ve ardından yeni sektörlere ve coğrafyalara genişleyeceğini söyledi (bkz: Veracode Brian Roche’u CEO’luğa Yükseltti, Longbow Security’yi Satın Aldı).
Iyer, “Muhtemelen yapacağımız şey, bunu SCA teklifimizin bir parçası olarak müşterilerimizin eline sunmak için çok agresif bir yol haritası koymak olacaktır” dedi. “Gelecek olan Phylum ekibi bu çabaya odaklanacak ve kendini adamış olacak.”
Yazılım kompozisyon analizi alanındaki bazı rakipler tedarik zinciri yetenekleri eklemeye başlarken Iyer, Phylum’un satın alınmasının Veracode’un daha gelişmiş yetenekleri entegre ederek bir adım öne geçmesine yardımcı olacağını söyledi. Hepsi bir arada yaklaşım, Bray’in yazılım tedarik zinciri olgunluğunu iyileştirmeyi amaçladığını söylediği OpenSSF’nin Güvenli Tedarik Zinciri Tüketim Çerçevesi gibi yeni ortaya çıkan standartları destekliyor.
Iyer, “Bazıları bunu teklif ediyor, ancak tekliflerinin gücü belki de 1.0 versiyonudur” dedi. “Bu, kendimizi 3.0 veya 4.0 sürümüne doğru ilerletmemize olanak tanıyor. Çoğu bunu organik olarak yaptı, oysa bu, bu tür tekliflerde kendimizi liderliğe taşımamıza olanak sağlıyor.”
Iyer’e göre satın almanın başarısı, Veracode’un mevcut müşterileri arasında Phylum teknolojisinin benimsenmesi, kötü amaçlı paketleri etkili bir şekilde engelleme yeteneği ve yeni iş fırsatlarının yaratılmasıyla ölçülecek. Özellikle Veracode’un halihazırda güçlü bir varlığa sahip olduğu endüstrilerde ve coğrafyalarda yeni müşteri kazanımının da kritik bir ölçüm olacağını söyledi.
“Bizim için önemli bir ölçüm bağlılık olacaktır; mevcut müşterilerimizden kaç tanesi Phylum’u da içeren yeni teklife geçiş yaptı?” dedi Iyer. “Peki bunların kaçı kötü amaçlı paketlerin içeri girmesini engelliyor ve engelliyor? Ve tabii ki bu bizim için kaç tane yeni iş fırsatı yaratıyor ki bu, yeni bir işin bize gelmesinin kritik nedeniydi?”