WhiteSource lÀgger till upptÀckt, ÄtgÀrdande för sÄrbarheter i anpassad kod

Atlassian avslöjar en ny utvecklarportal för att stödja produktiviteten


WhiteSource expanderar idag bortom att sĂ€kra anvĂ€ndningen av öppen kĂ€llkod i applikationsutveckling, med lanseringen av en ny lösning för att sĂ€kra specialutvecklad, proprietĂ€r kod. Införandet av upptĂ€ckt och Ă„tgĂ€rdande för sĂ„rbarheter i anpassad kod kommer i slutĂ€ndan att förvandla leverantörens plattform till “en one-stop shop som servar alla applikationssĂ€kerhetsbehov”, sĂ€ger medgrundare och VD Rami Sass.

WhiteSource Àr en mÄngÄrig leverantör av mjukvarusammansÀttningsanalys (SCA), som sÀkrar öppen kÀllkod, och WhiteSource kommer nu Àven att kunna betjÀna kunder som letar efter anpassad kodsÀkerhet via statisk applikationssÀkerhetstestning (SAST). Företagets SAST-lösning Àr allmÀnt tillgÀnglig frÄn och med idag, och bygger pÄ de nyligen genomförda förvÀrven av tvÄ europeiska startups, tillsammans med företagets eget interna utvecklingsarbete.

WhiteSource förvÀrvade SAST-detektionsstartup Xanitizer i mitten av december och SAST-skanningsstartup DefenseCode i mitten av januari. FörvÀrven har inte offentliggjorts tidigare.

“Enad plattform”

Medan SCA och SAST tĂ€cker olika sidor av spektrumet inom mjukvaruutveckling, ser de tvĂ„ lösningarna “bĂ„da pĂ„ samma applikationer, utvecklade av samma ingenjörer, inom samma organisationer”, sa Sass i en intervju med VentureBeat. “Och sĂ„ det Ă€r vettigt att ha bĂ„da dessa tekniker samexistera i en enhetlig plattform – eftersom samma personer i slutĂ€ndan mĂ„ste fixa dessa sĂ„rbarheter.”

Med dagens första lansering av WhiteSource SAST-lösningen kommer SCA- och SAST-erbjudandena inte att integreras med varandra – men planen Ă€r att integrera de tvĂ„ sidorna tidigt under andra halvĂ„ret, enligt Sass.

Flytten Ă€r ett svar pĂ„ kundernas efterfrĂ„gan pĂ„ en konsoliderad plattform för applikationskodsĂ€kerhet. “De vill fĂ„ alla dessa sĂ„rbarheter frĂ„n samma kĂ€lla, och de vill ha samma arbetsflöden för att fixa dem,” sa Sass.

Expansionen representerar ocksĂ„ en “stor tillvĂ€xtmöjlighet” för företaget, sade han, med tanke pĂ„ att SAST-marknaden Ă€r ungefĂ€r fem till sex gĂ„nger sĂ„ stor som SCA-marknaden. “Det ger oss verkligen mycket utrymme att fortsĂ€tta vĂ€xa i en snabbare takt, som vi har haft de senaste fyra eller fem Ă„ren,” sa Sass.

Detekteringen av kodsĂ„rbarhet i WhiteSources SAST-lösning kommer att vara “branschledande” nĂ€r det gĂ€ller att erbjuda fĂ„ falska positiva resultat, och kan skanna efter brister mellan 10 och 100 gĂ„nger snabbare Ă€n Ă€ldre lösningar, enligt Sass. Men den verkliga skillnaden ligger i saneringsförmĂ„gan, sa han.

“I SAST-vĂ€rlden försöker alla lösningar alltid övertyga dig om att deras upptĂ€ckt Ă€r bĂ€ttre. Men knappast nĂ„gon försöker ens Ă„tgĂ€rda sĂ„rbarheterna Ă„t dig”, sa Sass.

Även nĂ€r andra lösningar försöker hjĂ€lpa till med Ă„tgĂ€rdande, innebĂ€r tillvĂ€gagĂ„ngssĂ€ttet vanligtvis att antingen peka ut platsen i koden dĂ€r fixare ska göras, eller att ge utvecklare utbildning om hur de ska gĂ„ till vĂ€ga för att fixa dessa typer av sĂ„rbarheter – men inte de specifika sĂ„rbarheten i frĂ„ga, sa han.

Med WhiteSource SAST-lösningen “tar vi dock ett tillvĂ€gagĂ„ngssĂ€tt för att faktiskt lösa problemet Ă„t dig – vilket Ă€r mycket unikt”, sa Sass.

Medan teknologin för att upptĂ€cka sĂ„rbarheter i lösningen Ă€r baserad pĂ„ de tvĂ„ nyligen genomförda förvĂ€rven, har saneringsfunktionerna varit under utveckling internt hos WhiteSource under det senaste Ă„ret, sa han. “Vi har haft ett dedikerat team av domĂ€nexperter som arbetar med det. Vi har lĂ€mnat in ett antal patent. Det Ă€r ett mycket komplext problem”, sa Sass. “Men vi Ă€r vĂ€ldigt glada över vĂ„r förmĂ„ga att faktiskt lösa sĂ€kerhetsproblemet Ă„t dig, och inte bara kunna rapportera om det.”

Detta följer pÄ WhiteSources liknande möjligheter i SCA, som tillhandahÄller automatiserad sanering för öppen kÀllkod, och debuterade för tre Är sedan.

“Vi var de första som introducerade idĂ©n om att automatiskt Ă„tgĂ€rda sĂ„rbarheterna i din [open source] beroenden. Och vid det hĂ€r laget har vi gjort det i produktion för tiotusentals riktiga kundprojekt”, sa Sass. “Under den tiden har vi ocksĂ„ haft nĂ„gra andra leverantörer i rymden som kopierar vĂ„ra lösningar.”

Vad företaget har funnit sedan lanseringen av kapaciteten Ă€r att automatiserad sanering Ă€r “en enorm vĂ€rdegenerator”, sa han.

“Det verkliga vĂ€rdet som vem som helst kan fĂ„ av alla slags applikationssĂ€kerhetslösningar Ă€r om de kan eliminera sĂ„rbarheter frĂ„n sina applikationer. Bara att veta om sĂ„rbarheter gör ingenting för att stoppa en attack eller ett hack”, sa Sass. “SĂ„ nu, det Ă€r nĂ„got vi kommer att överföra till en vĂ€rld av statisk analys för proprietĂ€r kod.”

I slutĂ€ndan, över bĂ„de öppen kĂ€llkod och anpassad kod, “Ă€r vi de enda som helt kan automatisera handlingen att Ă„tgĂ€rda sĂ„rbarheterna – och inte bara hitta dem”, sa han.

TillvÀxtspurt

Utvidgningen av WhiteSources erbjudanden kommer efter att företaget redan har sett en stark tillvĂ€xt, enligt Sass. IntĂ€kterna har ökat med 800 % under de senaste tre Ă„ren, och under Ă„rets fjĂ€rde kvartal avslutade företaget en stor kundaffĂ€r – vĂ€rd 9 miljoner dollar – med en stor mjukvaruleverantör. Kundens namn avslöjades inte.

WhiteSource passerade 1 000-kunder förra Äret och rapporterar nu att ha mer Àn 1 100 kunder. Kunderna inkluderar Microsoft, IBM, Comcast, The Home Depot, Mastercard, Bosch, Schlumberger, Roche, Berkshire Hathaway, PWC och KPMG.

Med kontor i Israel, Storbritannien och Boston, Massachusetts, har WhiteSource mer Àn 300 anstÀllda. Företaget har samlat in 121,2 miljoner dollar sedan grundandet 2011, senast avslutade en serie D-runda pÄ 75 miljoner dollar i april 2021.

WhiteSource avslöjade inte villkoren för sina tvÄ senaste förvÀrv. Kroatien-baserade DefenseCode tog med sig sju anstÀllda, medan Tyskland-baserade Xanitizer tog fyra.

‘VĂ€ndpunkt’ i kodsĂ€kerhet

Medan intresset för kodsĂ€kerhetslösningar har vuxit stadigt sedan 2014, nĂ€r Heartbleed- och Shellshock-sĂ„rbarheterna avslöjades, var 2021 helt klart en “vĂ€ndpunkt”, sa Sass. UpptĂ€ckten av den kritiska sĂ„rbarheten i det mycket anvĂ€nda Apache Log4j-loggningsbiblioteket avslutade ett Ă„r som redan hade sett en stor ökning av medvetenheten kring kodsĂ€kerhetsrisker, sa han.

“Den huvudsakliga vĂ€ndpunkten 2021 var uppkomsten av en ny typ av applikationssĂ„rbarhet – supply chain attack – som Ă€r mycket annorlunda [from] vad vi har sett historiskt, sa Sass.

Tidigare “var alla dessa sĂ„rbarheter oavsiktliga”, sa han. “NĂ„gon vĂ€lmenande utvecklare i ett projekt med öppen kĂ€llkod hade en bugg – men de menade inte att det skulle finnas en sĂ„rbarhet.”

Men sedan, i slutet av 2020, upptÀcktes SolarWinds mjukvaruförsörjningskedjabrott. Och det följdes nÄgra mÄnader senare av andra attacker som genomfördes genom att infoga skadlig kod i applikationer under utvecklingsprocessen, inklusive attackerna Kaseya och Codecov.

Fram till denna punkt var sĂ„rbarheter i koden “dĂ€r av misstag”, sa Sass. “Med supply chain attacker försöker nĂ„gon avsiktligt implantera dessa sĂ„rbarheter och gör sedan allt de kan för att dölja sina spĂ„r. SĂ„ det Ă€r inget vi inte har sett förut, och det skapade mycket mer medvetenhet om den hĂ€r frĂ„gan.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.