🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

「SCA软件成分分析」全面推进,Tenable悄悄投了个700万美元的新种子|喵站快讯

喵酱 安全喵喵站 2023-11-04
收录于合集 #喵站快讯 122个

2023年2月7日,软件供应链安全管理的新兴厂商Lineaje宣布获得Tenable Ventures领投的700万美元的种子轮融资。Lineaje同时宣布其SB0M360平台-首创的软件供应链管理解决方案-与Persistent Systems达成分销伙伴合作。


Lineaje聚焦于为构建或使用软件的公司提供持续的软件供应链安全管理,为软件开发和更好的运行时安全性奠定基础。破坏性供应链攻击正在迅速增长,对现有工具的检测能力提出了挑战,Lineaje SBOM360平台可以帮助客户集中管理其整个软件供应链,包括由他们自己构建或购买的应用程序,从而允许他们在全企业层面管理SBOM。Lineaje的独特方法可以确定所有软件的组件,并公开每个组件的多级依赖链。其尖端的指纹技术可以证明整个供应链的真实性,消除供应链的损害。SBOM360也符合美国第14028号行政命令和其他国际法规的合规要求,这些法规对联邦机构、国防部和其他政府组织采购第三方软件有相关管控要求。



Lineaje是Tenable Ventures这只新基金的三个首选项目之一。2023年1月27日Tenable宣布发布Tenable Ventures,初期计划投资总额为2500万美元,将在全球范围内寻找早期初创企业,开发新颖的功能,帮助客户发现、评估和管理攻击面的网络安全风险,以更好地防止攻击。



Tenable预计将投资专注于云安全、身份管理、外部攻击表面管理、运营技术和漏洞管理等新兴技术的公司。这些技术将扩大暴露面管理生态系统,并可以考虑集成到Tenable One管理平台中。投资Lineaje后,双方会合作创建可共享数据模型,提升软件供应链更好的运行时安全性,保护已部署软件中的内部弱点。

Tenable高级副总裁Matthew Olton表示,Lineaje和Tenable有着相同的愿景——减少对客户数字基础设施的攻击。

“开发人员信任他们包含在软件中的开源和第三方软件包。不幸的是,供应链攻击证明这种信任是错误的,”Lineaje CEO兼联合创始人Javed Hasan说,“Lineaje通过自动验证软件中每个组件的完整性,并在无法通过验证时提供高质量的警报,为软件供应链带来了可验证的信任。”

Lineaje也同时宣布与全球数字工程领导者Persistent Systems签订分销协议,Persistent Systems将转售SBOM360,并使用SBOM360创建和管理其客户的软件供应链。“Lineaje的SBOM360有助于评估和管理新应用程序和传统产品的软件供应链,我们很高兴将这种首创产品推向全球市场,”Persistent Systems高级副总裁Nitish Shrivastava说。


SCA软件成分分析正全面落地



Gartner将数字供应链风险列为2022年的7大网络安全趋势之一,并预测到2025年,全球45%的组织将遭遇软件供应链攻击,比2021增加了三倍。到2025年,75%的应用开发团队将在工作流程中实施SCA工具,把与开源相关的安全风险降至最低。


Forrester「The Software Composition Analysis Landscape, Q1 2023」认为:美国和其他国家政府对软件供应链安全的关注提高了对软件成分分析SCA工具的需求。SCA市场也受益于现代应用程序开发方法对开源软件的日益依赖,以及随后需要了解开源组件带来的漏洞和许可风险。


2021年5月,美国总统签署了一项关于改善网络安全防御的行政命令,美国政府推动强制性SBOM(软件材料清单)提供软件透明度,代表了政府对SolarWinds和外国威胁行为者发动的其他重大袭击的反应。这一举措大大推进了软件供应链安全的重要性,被视为SCA发展的一大助推。开源Linux基金会也发布了一批新的行业研究、培训和工具,旨在加快在安全软件开发中使用SBOM。


虽然SBOM并不是一个新话题,但在软件工业中标准化实施,其复杂度和影响依然很深远,也有很多实际落地的挑战。随着行政令的颁布,许多IT厂商开始争先恐后地了解其影响,做好接下来的应对准备,其中不乏抱怨之声。ITI(Information Technology Industry Council,一个代表大型科技公司的游说团体)呼吁联邦政府管理和预算办公室OMB并 “劝阻”推行SBOM,认为供应商准确提供构成软件组件的成分“为时过早,效用有限”。ITI成员包括亚马逊、微软、苹果、英特尔、AMD、IBM、思科、三星、台积电、高通、Zoom和PA网络等。


ITI的函件中写道:我们认识到并赞赏OMB流程中的灵活性。但考虑到目前的成熟度,我们认为SBOM还不适合。需要更多的时间,以实现标准化的SBOM可扩展到所有软件类别,并可供管理机构使用。


SCA软件成分分析在国内的发展


随着攻击态势的加剧,软件供应链安全也越来越被国内用群体所重视。部分国内明星厂商已经前瞻性布局SCA赛道,也是为众多资本所看好的一个未来赛道方向。


来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」  

来源:斯元商业咨询「网络安全科技供应链报告:厂商成分分析及国产化替代指南」

孝道科技CTO徐锋表示,SCA软件成分分析是保障软件供应链安全不可或缺的工具,在面对当下开发团队大量依赖开源代码加速创新迭代的背景下,不仅能够适应敏捷开发和应用快速交付的特点,也能轻松应对使用开源代码的潜藏安全风险。国内许多重要行业领域的软件产品,存在过保、供应商消失断供、交付时没有源代码的情况较为普遍,导致软件中存高危漏洞的开源组件无法修复。针对此类问题融入数字免疫技术,使其能够在不修改软件源代码的前提下,提供安全修复能力是SCA产品未来重要的发展趋势。

软安科技CTO朱辉认为,近期针对软件供应链的安全攻击事件呈现出高发态势,开源软件的安全风险管控是当前国内企业软件供应链安全保障亟需解决的核心问题。SCA可用于识别和管理应用程序开源软件依赖性及其相关漏洞和合规风险,然而应用程序代码之外的整条供应链“流水线”容易被“忽视”,供应链中开源软件二进制检测结果正确性、深度版权许可、漏洞定位实际风险等问题有待解决。未来可结合知识图谱、深度学习等技术,将进一步提升SCA的覆盖广度、检测精度和检测深度。

蜚语安全CEO束骏亮博士认为,随着软件供应链的日趋复杂以及网络安全治理重心的左移,未来3年软件供应链安全将迎来重要的发展窗口期。其中软件成分分析作为一个新兴的赛道,必然会受到甲方与厂商的关注。除了软件成分分析之外,软件供应链安全还包括了诸多其他方面安全能力的建设,比如工具链的管控、代码完整性的保障,自研代码的安全等等,这些方面也应该得到足够的重视,不要成为“木桶”最短的一块板。

开源网安SCA技术专家汪杰认为,近年来,随着开源组件被越来越多使用,软件供应链攻击愈发频繁,国内外软件供应链安全相关的法律法规也相继出台,软件供应链安全在国家层面和市场侧都达到了一个新高度。SCA作为第三方组件成分分析工具,在供应链安全的检测中起到关键性作用,其从早期单一的应用安全检测工具,发展到现在的供应链安全检测工具,衍生出很多新场景,如容器镜像检测、关键配置信息检测等,其中SBOM技术是整个软件供应链安全检测中的一个重要技术,而SCA工具则是SBOM技术的最佳实践。开源网安认为,SCA不仅是一个工具,更是一项技术手段,正在基础设施化,在国企、金融、运营商、医疗、科技等行业都有非常多的场景应用,在数字经济时代,对于提升关键业务系统安全和质量,满足合规要求,提升企业竞争力,推动国家信创产业发展都有十分重要的意义。

相关链接:
https://www.businesswire.com/news/home/20230207005224/en/Elite-Roster-of-Cybersecurity-Investors-Backs-Lineaje-to-Deliver-Industry-first-Supply-Chain-Security-Solution
https://www.lineaje.dev/products/SBOM360
https://www.tenable.com/tenable-ventures
https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022
https://openssf.org/oss-security-mobilization-plan/
https://www.securityweek.com/biden-signs-order-beef-federal-cyber-defenses/
https://www.securityweek.com/big-tech-vendors-object-us-gov-sbom-mandate/




 喵站广告





往期回顾



游戏化攻防实训加速人才技能提升,HTB完成5500万美金融资|喵站快讯
超3.6亿元的种子轮融资!CIAM赛道新星获多个头部投资机构加持|喵站快讯
SASE持续火热,独角兽Netskope再融4.01亿美元|喵站快讯
新增!美国实体清单再加6家中国企业 · 附文件下载|喵站快讯

关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《网安初创天使投资态势报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 hella@z1-sec.com。

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存