CodeSentry识别第三方代码中的安全盲点

软件组成分析产品检测应用程序组件(包括二进制)中的漏洞，并创建详细的软件材料清单

Grammatech近期发布了CodeSentry，它执行二进制软件组成分析（SCA）来盘点定制开发的应用程序中所使用的第三方代码，并检测它们可能存在的漏洞。CodeSentry可以识别盲点，它允许安全专业人员在整个软件生命周期中快速轻松地测量和管理风险。

GrammaTech首席执行官Mike Dager说：“使用第三方组件而不是从头开始构建应用程序是加速上市时间的公认做法，这推动了可重用代码的大量增长。现在，大多数企业都意识到第三方代码对其应用程序和业务所造成的安全风险，以及他们对CodeSentry提供的软件组成分析功能的需求，它检测二进制的精度无与伦比”。

利用开源代码漏洞进行的高调攻击扩大了对第三方代码进行审查的需求。据Gartner表示：“软件供应链风险已得到越来越多的关注。与偶然出现的漏洞相比，已经在越来越多的事件中发现，攻击者故意引入恶意代码，以利用开源 区中存在的信任”。 1

由于第三方软件可以以源代码或二进制的形式进行交付，因此使用它的组织可能不知道其底层组件。该代码可以是开源代码，货架产品（COTS）或合约软件。CodeSentry可以检测组件和与之相关的漏洞，包括 络组件，GUI组件或身份验证层。它使用深度二进制分析来创建详细的软件物料清单（SBOM）和已知漏洞的完整列表。

GrammaTech首席产品官Vince Arneja说：“使用第一代软件组成分析工具（这些工具依赖于源代码来识别第三方组件）的客户通常处于劣势，因为他们无法看到以二进制文件形式交付的软件。GrammaTech提供二进制分析和创建软件物料清单的能力消除了这个危险的盲点，使企业可以主动地缩小攻击面”。

保护现代软件栈

CodeSentry基于GrammaTech开创性的二进制代码分析和机器学习技术，无需源代码即可提供深层的可视性，以及提供以下关键优势：

CodeSentry的关键优势

? 大规模的软件组件分析，高召回率，高精度

? SBOM和漏洞检测

? 使用公共和私有数据库

? 单次扫描和组件历史记录

? 支持本机二进制文件

? 本地部署和SaaS

关于GrammaTech

GrammaTech通过减少开发软件的漏洞并减少其受到 络攻击的风险，使企业能够提供更安全的产品和服务。CodeSonar和CodeSentry产品与DevSecOps工作流集成在一起，发现源代码和第三方代码中的安全漏洞，并跟踪代码的谱系以实现可追溯性。

GrammaTech还是国防和情 界（包括DoD，DARPA和NASA）值得信赖的 络安全和软件研究合作伙伴。了解产品详情请访问http://www.softtest.cn/。

1 Gartner，“软件组成分析的技术见解”，Dale Gardner，2019年11月1日

更多信息：http://www.softtest.cn/