סינפוסיס הרחיבה את עומק בדיקות האבטחה של Coverity

14 פברואר, 2019

הגרסה החדשה מאפשרת לארגונים לבנות יישומים מאובטחים באופן מהיר יותר. היא כוללת חידושים בשלושה תחומים מרכזיים: סקלביליות, תמיכה בשפות תכנות וב-frameworks, וניתוח מקיף של פגיעויות (Vulnberabilities)

סינפוסיס הרחיבה את עומק בדיקות האבטחה של Coverity

חברת סינופסיס (Synopsys) הכריזה על גרסה חדשה של פתרון האבטחה Coverity מסוג SAST – Static Application Security Testing), המאפשר לבנות יישומים מאובטחים באופן מהיר. הגרסה העדכנית של Coverity מספקת מענה לשלושה צרכים דחופים בארגונים גדולים: סקלביליות, תמיכה בשפות תכנות וב-frameworks וניתוח מקיף של פגיעויות (Vulnberabilities).

"צוותי אבטחת יישומים בארגונים גדולים צריכים היום להיות מסוגלים לבדוק אם ישנן פגיעויות במאגר היישומים הגדל וההולך שלהם, ובו בזמן למזער את השפעת הפגיעויות על מהירות הפיתוח והפונקציות העסקיות", אמר אנדראס קולמן, מנכ"ל משותף של קבוצת ה-Software Integrity בסינופסיס העולמית (בתמונה למעלה). "הגרסה החדשה של Coverity מאפשרת לצוותי אבטחת המידע לעשות בדיוק את זה, באמצעות הרחבת טכנולוגיית ניתוח הקוד הסטטי שלנו, כך שתכסה טווח רחב יותר של יישומים ותהיה קלה יותר למימוש והגדלת היקף הבדיקות".

פתרון SAST סקלבילי עבור צוותי אבטחת יישומים

Coverity מאפשרת לארגונים גדולים להרחיב את מאמצי ה-SAST שלהם לרוחב מקבצים גדולים של יישומים. הפתרון החדש כולל גם פונקציית "ניתוח ללא בנייה" (analysis without build) המאפשרת לצוותי אבטחת מידע להכניס למערכת ולנתח אלפי יישומים במהירות ובקלות. הם יכולים כעת להפנות את Coverity לקוד המקור ולהתחיל לנתח אותו בתוך שניות, בלי צורך לבצע בשלב הראשון קומפילציה או בנייה מלאה של תוכנה עבור כל יישום.

בניגוד לפתרונות SAST אחרים, Coverity מזהה באופן אוטומטי לחלוטין את רכיבי הפרוייקטים המהווים חלק מהקוד ואת יחסי התלות ביניהם (dependencies). הדבר מבטל את הצורך להצהיר ידנית על יחסי תלות גם כשמבצעים ניתוח ללא בנייה מלאה של המערכת.

תמיכה בשפות תכנות וב-frameworks

סביבת שפות התכנות וה-frameworks שבהם משתמשים בכדי לבנות יישומים מתרחבת, וכלי SAST צריכים להבין כיצד כל שפה ו-framework עובדים בכדי להיות אפקטיביים. סינופסיס הרחיבה את הכיסוי שמספקת Coverity לשפות תוכנה ול-frameworks. הגרסה החדשה כוללת תמיכה ב-TypeScript, .NET Core, Swift 4.1 ו-Ruby on Rails, וכן ב-50 frameworks שונים ל-Java, JavaScript, C#, כולל Angular, React ו-Vue.

ניתוח פגיעויות

הגרסה החדשה של Coverity כוללת יכולת ניתוח framework משופרת, המאפשרת ללקוחות לזהות באופן מדויק יותר פגיעויות בשירותי web. ה-back end יכולה כעת לנתח תבניות של JavaScript framework, שמהוות אמצעי פופולרי ל-data binding בצד הלקוח. Coverity יכולה כעת לסרוק את קוד ה-HTML שנוצר באופן מיידי מתבניות מסוג זה, בכדי למצוא פגיעויות scripting נוספות לרוחב כל הקוד.