CodeSentry識別第三方代碼中的安全盲點

軟件組成分析產品檢測應用程序組件(包括二進制)中的漏洞，并創建詳細的軟件材料清單

 Grammatech近期發布了CodeSentry，它執行二進制軟件組成分析（SCA）來盤點定制開發的應用程序中所使用的第三方代碼，并檢測它們可能存在的漏洞。CodeSentry可以識別盲點，它允許安全專業人員在整個軟件生命周期中快速輕松地測量和管理風險。

GrammaTech首席執行官Mike Dager說：“使用第三方組件而不是從頭開始構建應用程序是加速上市時間的公認做法，這推動了可重用代碼的大量增長。現在，大多數企業都意識到第三方代碼對其應用程序和業務所造成的安全風險，以及他們對CodeSentry提供的軟件組成分析功能的需求，它檢測二進制的精度無與倫比”。

利用開源代碼漏洞進行的高調攻擊擴大了對第三方代碼進行審查的需求。據Gartner表示：“軟件供應鏈風險已得到越來越多的關注。與偶然出現的漏洞相比，已經在越來越多的事件中發現，攻擊者故意引入惡意代碼，以利用開源社區中存在的信任”。 ¹

由于第三方軟件可以以源代碼或二進制的形式進行交付，因此使用它的組織可能不知道其底層組件。該代碼可以是開源代碼，貨架產品（COTS）或合約軟件。CodeSentry可以檢測組件和與之相關的漏洞，包括網絡組件，GUI組件或身份驗證層。它使用深度二進制分析來創建詳細的軟件物料清單（SBOM）和已知漏洞的完整列表。

GrammaTech首席產品官Vince Arneja說：“使用第一代軟件組成分析工具（這些工具依賴于源代碼來識別第三方組件）的客戶通常處于劣勢，因為他們無法看到以二進制文件形式交付的軟件。GrammaTech提供二進制分析和創建軟件物料清單的能力消除了這個危險的盲點，使企業可以主動地縮小攻擊面”。

保護現代軟件棧

CodeSentry基于GrammaTech開創性的二進制代碼分析和機器學習技術，無需源代碼即可提供深層的可視性，以及提供以下關鍵優勢：

• 使用簡單，通過應用程序上載界面接受本機二進制文件，zip文件或其他存檔文件。二進制文件不需要調試信息，并且可以基于任意數量的指令集架構（ISAs）。

• 分析將要運行的代碼，而不是構建環境。這極大地減少了由于構建環境中多余的代碼和構建配置而被排除在外的組件所造成的誤報。

• 通過各種組件匹配算法來識別本地二進制文件中存在的組件，以收集版本號范圍，創建SBOM并提供與CVE和CVSS評分的鏈接。

• 為了實現這種級別的二進制分析，CodeSentry使用了先進算法來檢測應用程序中的組件，算法具有超高的召回率（RECALL）和精妙程度，包括自然語言處理中使用的字符串。其獨特的“嵌入”技術使CodeSentry可以將組件分解映射到多維向量，并將它們與從組件派生的向量進行比較。
  

CodeSentry的關鍵優勢
?  大規模的軟件組件分析，高召回率，高精度
?  SBOM和漏洞檢測
?  使用公共和私有數據庫
?  單次掃描和組件歷史記錄
?  支持本機二進制文件
?  本地部署和SaaS

關于GrammaTech

GrammaTech通過減少開發軟件的漏洞并減少其受到網絡攻擊的風險，使企業能夠提供更安全的產品和服務。CodeSonar和CodeSentry產品與DevSecOps工作流集成在一起，發現源代碼和第三方代碼中的安全漏洞，并跟蹤代碼的譜系以實現可追溯性。 

GrammaTech還是國防和情報界（包括DoD，DARPA和NASA）值得信賴的網絡安全和軟件研究合作伙伴。了解產品詳情請訪問http://www.softtest.cn/。

¹ Gartner，“軟件組成分析的技術見解”，Dale Gardner，2019年11月1日

更多信息：http://www.softtest.cn/