Centro de inovação do RSAC 2024, o RSAC Early Stage Expo foi projetado especificamente para apresentar players emergentes na indústria de segurança da informação. Entre os 50 expositores amontoados no estande do segundo andar, sete novatos apoiados por VC em segurança de aplicativos e devsecops chamaram nossa atenção.
AppSentinels
AppSentinels se autodenomina uma plataforma abrangente de segurança de API, cobrindo todo o ciclo de vida do aplicativo. O produto realiza análises completas das atividades do aplicativo e examina detalhadamente seus fluxos de trabalho. Depois que o produto AppSentinals entende os fluxos de trabalho, ele pode testá-los contra uma variedade de falhas potenciais e usar essas informações para também proteger contra ataques complexos de lógica de negócios em ambientes de produção.
AppSentinels afirma que sua equipe desenvolveu modelos intrincados capazes de compreender a funcionalidade de cada uma das aplicações da sua empresa, bem como os fluxos de trabalho e processos internos, para reforçar sua proteção. Munidos dessa compreensão de fluxos de trabalho de processos bem-sucedidos, os AppSentinels podem impedir possíveis ataques. O produto usa vários modelos de IA, incluindo modelos lógicos gráficos, modelos de cluster não supervisionados e modelos de espaço de estados para fortalecer o fluxo de trabalho e os próprios aplicativos.
Laboratórios Endor
A Endor Labs opera como uma empresa de segurança da cadeia de fornecimento de software, com foco principal no aumento da produtividade do desenvolvedor. A empresa pretende agilizar o fluxo de trabalho do desenvolvedor, economizando tempo e dinheiro ao priorizar alertas e vulnerabilidades de forma eficaz. Ao contrário de outras ferramentas que inundam os desenvolvedores com falsos positivos, levando à fadiga, o Endor Labs se esforça para fornecer orientações claras sobre quais problemas abordar primeiro e facilitar a resolução rápida.
Endor Labs emprega análise de acessibilidade para entender as funções chamadas pelos pacotes e suas dependências, rastreando todo o caminho da chamada para identificar dependências específicas usadas por diferentes versões de um pacote. Além disso, o Endor Labs avalia se um trecho de código com vulnerabilidade é usado ativamente no aplicativo, oferecendo insights precisos além do que é meramente declarado no arquivo de manifesto.
Embora algumas ferramentas de segurança se concentrem nas vulnerabilidades listadas no arquivo de manifesto, a Endor Labs adota uma abordagem diferente, conduzindo análises de programas para estabelecer gráficos de chamadas e identificar o código desenvolvido estaticamente como a fonte da verdade. Ao priorizar as dependências utilizadas ativamente pela aplicação, o Endor Labs visa fornecer uma avaliação mais precisa das vulnerabilidades presentes no código desenvolvido.
Além de tratar todos os componentes como dependências, o Endor Labs estende essa abordagem aos processos de CI/CD, oferecendo visibilidade das ferramentas utilizadas no pipeline. Isso ajuda os desenvolvedores a identificar ferramentas sancionadas e não sancionadas, garantindo melhor conformidade de segurança. Além disso, o Endor Labs avalia a postura dos repositórios dentro do pipeline de CI/CD e apoia a assinatura de artefatos para atestados de conformidade, aprimorando ainda mais as medidas de segurança.
Linhagem
Lineaje tem como objetivo fornecer gerenciamento abrangente de segurança da cadeia de suprimentos de software, conduzido por fundadores com experiência em desenvolvimento de software de endpoint e tempo de execução. Decorrente de preocupações sobre incidentes como o hack da SolarWinds e o backdoor do XZ Utils, o Lineaje foi concebido para resolver vulnerabilidades em cadeias de software e construir pipelines, áreas normalmente inacessíveis ao software em tempo de execução.
A plataforma unificada da Lineaje pode dissecar qualquer objeto – seja código-fonte, pacote ou contêiner – para revelar sua estrutura de componentes ou árvore de dependências e submetê-lo à análise usando uma variedade de scanners, incluindo os de código aberto e proprietários da Lineaje. Em seguida, agrega esses dados e emprega um módulo de IA para examiná-los. Lineaje opera não apenas dentro do pipeline interno de CI/CD, mas também se estende ao consumo de componentes de código aberto provenientes de pipelines externos de CI/CD.
Uma descoberta alarmante de Lineaje é que aproximadamente 56% das vulnerabilidades no ecossistema de código aberto permanecem sem solução. Freqüentemente, os desenvolvedores introduzem involuntariamente componentes de código aberto desatualizados ou abandonados em seus pipelines, resultando em uma cascata de vulnerabilidades. A profundidade do Lineaje na descoberta de dependências além do nível do pacote – descobrindo dependências implícitas – é crucial. Esse recurso permite que a Lineaje conduza varreduras e análises completas de componentes de código aberto.
Para cada componente identificado, a Lineaje emprega verificação baseada em impressão digital para rastrear sua origem e validar sua autenticidade, garantindo que o componente seja originário de um repositório de origem confiável para um ID de commit específico. A Lineaje analisa toda a linhagem para detectar possíveis adulterações upstream e, em seguida, utiliza atestado baseado em impressão digital para mapear os níveis de integridade do software, medindo os riscos de adulteração.
Este processo meticuloso gera um SBOM (lista de materiais de software) abrangente e um repositório de dados facilmente acessível por meio dos recursos de consulta do Lineaje. As consultas podem ser transformadas em políticas, priorizando ações, auxiliadas pelo módulo de IA da Lineaje, que auxilia no planejamento do próximo lançamento da empresa, ao mesmo tempo em que reduz as vulnerabilidades.
Segurança espelhada
Myrror Security se concentra na detecção de ataques à cadeia de suprimentos de software. Ele realiza uma comparação minuciosa entre o código binário e seu código-fonte correspondente, visando identificar eventuais discrepâncias, pois idealmente não deveria haver nenhuma na versão binária pronta para implantação em produção. Essa abordagem poderia ter evitado incidentes como os ataques SolarWinds e XZ Utils, disseram representantes da Myrror.
Myrror analisa o código-fonte e o compara com a versão binária, usando uma lista de materiais de software gerada a partir da fonte. Este processo ajuda a identificar vulnerabilidades no SBOM, permitindo a avaliação da acessibilidade do ataque e ameaças potenciais à base de código. Embora o Myrror reconheça a importância da análise de composição de software (SCA) e do SBOM, seu foco principal permanece na detecção e prevenção de códigos e ataques maliciosos.
Segurança do escriba
A Scribe Security fornece uma plataforma de segurança da cadeia de fornecimento de software, aproveitando a tecnologia baseada em atestado (SBOM em todas as fases do processo de desenvolvimento) para detectar e prevenir adulterações, ao mesmo tempo que fornece evidências assinadas para garantia de conformidade. Implantado em todo o ciclo de vida de desenvolvimento de software (SDLC), o Scribe captura evidências abrangentes de todas as atividades relacionadas ao código. Essas informações são então sintetizadas em um gráfico de conhecimento, oferecendo insights sobre a dinâmica do produto, do pipeline e do processo. Os clientes podem gerenciar com eficácia o risco e a confiança usando as análises da Scribe, que permitem a mitigação automatizada de riscos dentro da estrutura SDLC.
Selo de segurança
Seal Security se concentra em correções de vulnerabilidades de código aberto. No entanto, em vez de fazer com que os desenvolvedores busquem atualizações de software para remediar as vulnerabilidades, Seal pega os patches de segurança mais recentes e os torna compatíveis com versões anteriores da biblioteca, tornando esses patches independentes prontamente disponíveis para os desenvolvedores consumirem como parte do processo de construção. Isso agiliza o processo de aplicação de patches para desenvolvedores e equipes de segurança de aplicativos, já que os engenheiros agora podem resolver vulnerabilidades automaticamente durante o processo de construção. Consequentemente, o tempo normalmente gasto na coordenação entre essas equipes é significativamente reduzido.
Tromzo
Tromzo se concentra em acelerar a remediação, integrando-se com scanners de segurança, scanners de vulnerabilidade, plataformas em nuvem e repositórios de código para estabelecer uma única fonte de verdade para todas as vulnerabilidades que você possa ter em sua empresa. Como a Tromzo agrega e correlaciona todos esses dados, eles conhecem todos os diferentes ativos que você possui – repositórios, dependências de software, SBOMs, contêineres, microsserviços, etc. – e quem os possui. Assim, quando a Tromzo analisa as vulnerabilidades, ele pode ajudar a deduzir quais delas apresentam mais risco (juntamente com a opinião do cliente sobre o risco, com base no fato de ser uma aplicação crítica para os negócios ou ter informações potencialmente confidenciais ou de identificação pessoal), o que dá à Tromzo uma visão de risco de toda a cadeia de fornecimento de software. A partir daí, Tromzo automatiza a triagem para corrigir primeiro as vulnerabilidades mais arriscadas.