Checkmarx приобретает стартап по обеспечению безопасности цепочки поставок с открытым исходным кодом Dustico

Checkmarx, израильский провайдер статического тестирования безопасности приложений (AST), приобрел стартап по обеспечению безопасности цепочки поставок с открытым исходным кодом Dustico за нераскрытую сумму.

Основанная в 2020 году, Dustico предоставляет платформу динамического анализа исходного кода, которая использует машинное обучение для обнаружения вредоносных атак и бэкдоров в цепочках поставок программного обеспечения.

Приобретение позволит Checkmarx объединить свои возможности AST с технологией поведенческого анализа Dustico, чтобы предоставить клиентам консолидированное представление о рисках и репутации пакетов с открытым исходным кодом и, как следствие, более комплексный подход к предотвращению атак на цепочку поставок.

Сделка происходит на фоне резкого роста атак на цепочки поставок, когда злоумышленники вставляют вредоносный код в надежное программное обеспечение или оборудование. В декабре прошлого года стало известно, что российские хакеры взломали софтверную фирму SolarWinds, чтобы внедрить вредоносный код в ее инструмент управления ИТ Orion. Это позволило хакерам, позже идентифицированным как Служба внешней разведки России (СВР), получить доступ к 18 000 сетей, в которых использовалось программное обеспечение Orion.

Технология Dustico, аналогичная технологии, предлагаемой Sonatype, анализирует пакеты с открытым исходным кодом, используя трехсторонний подход. Во-первых, он учитывает доверие, обеспечивая видимость надежности поставщиков пакетов и отдельных участников в сообществе разработчиков ПО с открытым исходным кодом, а затем исследует состояние пакетов, чтобы определить уровень их обслуживания. Наконец, расширенный механизм поведенческого анализа Dustico проверяет пакет и ищет скрытые вредоносные атаки, включая бэкдоры, программы-вымогатели, многоступенчатые атаки и трояны.

По словам двух компаний, это понимание в сочетании с результатами уязвимостей решений Checkmarx AST направлено на то, чтобы дать организациям и разработчикам более глубокое понимание для управления рисками, связанными с открытым исходным кодом и зависимыми от них цепочками поставок.



«Мы очень рады приветствовать Dustico и его команду в Checkmarx, поскольку израильская технологическая экосистема продолжает раздвигать границы инноваций и талантов в области кибербезопасности», — сказал Эммануэль Бензакен, генеральный директор Checkmarx. «Сочетание дифференцированного подхода Dustico к анализу с открытым исходным кодом с возможностями тестирования безопасности Checkmarx принесет огромную пользу нашим клиентам, поскольку они справляются с проблемами, связанными с безопасностью цепочек поставок программного обеспечения».

Приобретение Dustico произошло после того, как Checkmarx была куплена частной инвестиционной компанией Hellman & Friedman по оценке в 1,15 миллиарда долларов в марте 2020 года. До этого, в 2015 году, компания была продана Insight Partners с инвестициями в 84 миллиона долларов.