Skip to content

GrammaTech presenta la piattaforma per la sicurezza della Software Supply Chain

CodeSentry utilizza l’analisi binaria per creare un Software Bill Of Materials, rilevare vulnerabilità zero-day e N-day e fornire valutazione di rischio per applicazioni software di terze parti.

GrammaTech, fornitore leader di soluzioni Application Security Testing e servizi di ricerca software, ha annunciato l’ultima versione di CodeSentry che riduce i rischi di sicurezza della Software Supply Chain come quelli sfruttati nei recenti attacchi di SolarWinds, CodeCov e altre applicazioni.

PERCHÈ CODESENTRY?

CodeSentry analizza rapidamente il software per identificare i componenti dell’applicazione, generare una Software Bill Of Materials (SBOM) e rilevare le vulnerabilità zero-day e N-day.

“La maggior parte delle organizzazioni fa di tutto per garantire la sicurezza e la protezione delle proprie Supply Chain fisiche, ma fa ben poco per valutare l’integrità del codice software utilizzato per gestire la propria attività. Recenti incidenti come l’attacco SolarWinds hanno fatto luce sul rischio software e sulle sue conseguenze“, ha affermato Mike Dager, CEO di GrammaTech.

CodeSentry consente alle organizzazioni di scoprire quali componenti sono presenti nel software che stanno sviluppando o utilizzando, rilevare la presenza di potenziali vulnerabilità e mitigare i rischi. CodeSentry automatizza anche la conformità ai requisiti SBOM definiti nel recente Executive Order on Cybersecurity.

ANALISI BINARIA CODESENTRY

Le organizzazioni hanno tradizionalmente affidato ai fornitori del software la responsabilità di gestire i rischi di sicurezza associati alle applicazioni che acquistano. Ma la crescente frequenza degli attacchi alla catena di fornitura del software sta costringendo le aziende a valutare e verificare in modo proattivo il software di terze parti per scoprirne le vulnerabilità.

Poiché il codice sorgente è raramente disponibile per le applicazioni acquistate, l’analisi binaria è l’unica alternativa per estrarre uno SBOM per rilevare i rischi dei prodotti software commerciali.

VANTAGGI DI CODESENTRY

Derivato dalla ricerca condotta per le agenzie di difesa e di intelligence, CodeSentry offre i seguenti capacità e vantaggi:

  • Crea uno SBOM completo – la scansione binaria identifica i componenti open source e di terze parti e fornisce valutazioni di sicurezza, dettagli di component match, informazioni sulla versione, posizione e informazioni dettagliate sulle vulnerabilità inclusi i CVSS score
  • Rilevamento vulnerabilità zero-day e N-Day – rileva le vulnerabilità sconosciute (zero-day) e note (n-day) nei componenti open source e di terze parti
  • Executive Dashboard – fornisce un risk score dell’applicazione basato su vulnerabilità rilevate, CVSS e Key Performance Indicators (KPI)
  • Reportistica avanzata – per gli audit di compliance e risk governance
  • Diversi formati SBOM – incluso lo standard industriale CycloneDX
  • Implementazione flessibile – applicazione SaaS nativa con implementazione on-premise opzionale

VULNERABILITA’ DEL SOFTWARE SUPPLY CHAIN

“Il crescente utilizzo di componenti open source e di terze parti è una delle ragioni principali per cui la Software Supply Chain è vulnerabile a possibili attacchi”, ha affermato Chris Rommel, Executive Vice President di VDC Research.

“Di conseguenza, sia i fornitori di applicazioni che le organizzazioni end-users hanno bisogno di visibilità sulle codebase che vendono e utilizzano in modo da poter dimostrare continuamente l’integrità del software e rilevare e mitigare in modo proattivo le vulnerabilità“. 

CASI D’USO PRINCIPALI

CodeSentry affronta le seguenti sfide sia per i fornitori di software che per le imprese:

  • IT Vendor Risk Management – ridurre i rischi per l’azienda valutando i componenti e la sicurezza delle applicazioni commercial off the shelf (COTS) come applicazioni finanziarie, HR, videoconferencing, messaggistica e altro
  • Sicurezza delle informazioni – garantire una solida security posture testando in modo proattivo le applicazioni COTS per le vulnerabilità prima di distribuirle a livello di reparto o in tutta l’azienda
  • DevSecOps – assicurare che il codice di terze parti che viene introdotto nel Software Development Life Cycle sia stato progettato seguendo i principi di sicurezza per l’intero stack

DISPONIBILITÀ

CodeSentry 2.0 è immediatamente disponibile da Corvallis, distributore di GrammaTech per il mercato italiano.

Contattaci per una demo o per provare CodeSentry sulle tue applicazioni!

Prenota una demo

Quanto può costare alla tua azienda la vulnerabilità del software?

Integra la sicurezza nel tuo ciclo di sviluppo con CodeSonar e CodeSentry

Guarda il nostro webinar
back

Sei interessato alle nostre soluzioni?

Grazie per esserti registrato!

Riceverai una email con il tuo
invito personale all'evento

offerta

  • Sulla base della nostra conoscenza dei processi di banche e assicurazioni, accompagniamo i nostri clienti nei loro percorsi di innovazione, aiutandoli ad attivare modelli innovativi di prodotto e di servizio. Digital banking, marketplace di distribuzione e gestione di prodotti e servizi per il mercato assicurativo, integrazione dell’Internet of Everything e della Blockchain nella Catena del Valore dei nostri clienti sono alcune delle nostre realizzazioni ed esperienze.
  • Integriamo i nuovi media nelle strategie commerciali e gestionali, ridefiniamo le modalità di contatto con la clientela, abilitando richieste informative e dispositive attraverso le piattaforme di messaggistica.
  • Facilitiamo l’evoluzione delle competenze digitali dei nostri clienti, competenze che sono la chiave per cogliere le opportunità di una digitalizzazione sostenibile. Realizziamo progetti di formazione e comunicazione per lo sviluppo degli Digital Skill e la diffusione nelle aziende della cultura digitale.
  • Aiutiamo i nostri clienti ad adeguare la Customer Experience alle mutate aspettative ed esperienze dei loro clienti, analizzando e rivedendo end-to-end il Customer Journey, dalla rilevazione delle metriche di efficacia alla definizione degli interventi logistici, procedurali, operativi e sui sistemi e relativa User Interface necessarie a migliorarle.

processi IT

Mercati e sistemi si sono negli ultimi anni evoluti verso modelli caratterizzati da una sempre maggiore inter-connessione, modularità e specializzazione dei componenti. L’aumento di flessibilità e dinamicità garantito da tali modelli rischia di avere come contraltare complessità, difficoltà gestionale e di integrazione.

  • Con le nostre soluzioni, semi lavorati e modelli aiutiamo i nostri clienti a semplificare, razionalizzare e controllare i propri processi. Applicando tecniche e strumenti dedicati al Business Activity Monitoring ed alla Process & Data Quality introduciamo indicatori e punti di verifica e responsabilizzazione, rendiamo fluidi e controllabili i processi, specie quelli rivolti agli adempimenti contabili e di compliance.
  • Con le nostre competenze ed esperienze in ambito Project & Portfolio Management supportiamo i nostri clienti, sia in ambito finanziario che industriale, nel raggiungere i propri obiettivi, razionalizzare la propria spesa, controllare le proprie iniziative. Modelliamo, configuriamo, installiamo e gestiamo alcune delle più diffuse soluzioni di Project & Portfolio Management; svolgiamo sessioni di formazione metodologica e operativa.
  • Con specifico riferimento ai processi delle aree IT, aiutiamo a implementare e a dare efficacia a modelli DevOps; particolare focus è dedicato ai processi connessi alla qualità, dalla definizione dei requisiti all’ottimizzazione dei test di accettazione. Collaboriamo con i principali vendor di soluzioni per offrire sia servizi di testing end-to-end che specifiche componenti, quali la progettazione dei test case in ottica di Risk Management o l’abilitazione del disaccoppiamento dei diversi layer e componenti applicativi per consentire di ridurre le dipendenze in fase di test.
  • Analizziamo e ri-disegniamo i processi, identificando le migliori soluzioni di efficientamento e ricorrendo, dove opportuno, a soluzioni di Robotic Process Automation.

conformità

Gli obblighi di conformità nel comparto finanziario ed assicurativo, spesso definito come “iper regolato”, costituiscono un punto di attenzione costante per le aziende, sia per le implicazioni di carattere normativo che per la complessità ed il relativo costo di implementazione di modelli e sistemi di supporto adeguati.

  • Abbiamo fatto nostro il concetto di RegTech - l’incontro tra la regolamentazione e la tecnologia, che viene utilizzata a supporto delle procedure di reportistica, adeguamento, e rispetto di norme e regolamenti – per aiutare i nostri clienti a ridurre i rischi ed i costi di conformità attraverso l’aumento del controllo e dell’automazione dei processi e il miglioramento della qualità complessiva delle informazioni necessarie.
  • Grazie alla nostra competenza sui processi e sulle normative, realizziamo modelli di controllo e monitoraggio dei processi di compliance, ne garantiamo l’integrazione con i sistemi gestionali, riduciamo tempi e costi degli adempimenti.
  • Dedichiamo attenzione particolare ai temi dell’Antiriciclaggio e Anti Terrorismo, sia a supporto dei clienti che hanno adottato le nostre soluzioni specifiche che, in generale, per interventi di revisione organizzativa e gestionale o di formazione sulle normative e sulle sue implicazioni nel rapporto con la clientela.

core process

Ogni nostro intervento parte dalla profonda conoscenza dei processi core del comparto finanziario, conoscenza acquisita attraverso la lunga esperienza a fianco dei principali attori dei mercati bancario, assicurativo e finanziario in genere.

  • Sia a supporto delle nostre soluzioni che con interventi di carattere puramente consulenziale lavoriamo con i nostri clienti bancari negli ambiti del risparmio gestito, della finanza, degli incassi e pagamenti e altro segmenti.
  • Abilitiamo ed aiutiamo a mettere a punto i processi di gestione degli accordi di bancassicurazione e supportiamo le principali assicurazioni nella gestione ed evoluzione dei propri processi e sistemi in ambito vita, non vita, sinistri e procedure di governo.
This ebook will change everything you ever thought about relationships and attachment. Find the secret to connecting better and faster
corvallis.it

pubblicata

Il Sole 24ore