Коли увага американців переключилася на барбекю та пиво на початку нещодавніх святкових вихідних, , кібервоїни з Кіберкомандування США думали про інше: попередити 180 000 користувачів програмного забезпечення Atlassian Confluence про те, що вони ризикують стати жертвами масового нападу, атаки, що триває, на ланцюжок поставок програмного забезпечення.

У повідомленні в Твіттері 3 вересня USCYBERCOM попередив, що Масова експлуатація Atlassian Confluence CVE-2021-26084 триває і, як очікується, прискорюватиметься. Будь ласка, виправте негайно, якщо ви ще цього не зробили – це не може чекати до кінця вікенду”.

Легко зрозуміти, чому USCYBERCOM були так налякані. Згідно з їх веб-сайтом, програмне забезпечення Atlassian Confluence «надасть вашій команді місце для створення, фіксації та спільної роботи над будь-яким проектом чи ідеєю. Таким чином, кожен член команди має уявлення про інституційні знання та доступ до інформації, необхідної їм для найкращого виконання своєї роботи.» Через його відкритий і колективний характер зловмисник, якому вдасться проникнути в спільний робочий простір організації Confluence, може втекти з величезним обсягом приватної бізнес-інформації, а також здійснити наступні атаки на ланцюжок поставок проти клієнтів та постачальників. І, подолавши інші атаки на ланцюжки поставок програмного забезпечення, такі як Solar Winds, Codecov і Kaseya, постачальникам програмного забезпечення явно слід проактивно розгортати рішення, які можуть запобігти підробці коду та захистити цілісність життєвого циклу розробки програмного забезпечення, особливо в цю нову еру. інтеграція/безперервне розгортання (CI/CD).

На щастя для розробників, зростає кількість компаній, що займаються кібербезпекою, які приділяють особливу увагу захисту коду розробників. І не дивно, що багато з цих компаній – ізраїльські:

  • Програмне забезпечення WhiteSource https://www.whitesourcesoftware.com/

WhiteSource надає комплексне рішення для захисту безпеки пакетів програмного забезпечення з відкритим вихідним кодом. Воно інтегрується з середовищами розробки та конвеєром DevOps для виявлення бібліотек з відкритим вихідним кодом з проблемами безпеки або відповідності в реальному часі. WhiteSource також надає дієві, перевірені шляхи виправлення, щоб забезпечити швидке рішення та автоматичне застосування політик для прискорення часу виправлення. WhiteSource забезпечує підтримку більше 200 мов програмування і безперервно відстежує безліч баз даних уразливостей з відкритим вихідним кодом, включаючи Національну базу даних уразливостей США, рекомендації з безпеки, перевірені експертами бази знань про уразливості та засоби відстеження проблем проектів з відкритим вихідним кодом.

 

  • Argon Security https://argon.io/

Argon забезпечує комплексну безпеку ланцюжків постачання програмного забезпечення. Argon дозволяє DevOps та командам безпеки створювати захищені від несанкціонованого доступу конвеєри доставки програмного забезпечення від фіксації до випуску. Перше на ринку рішення безпеки забезпечує прозорість, безпеку та цілісність конвеєрів CI/CD, забезпечуючи підвищену довіру до випусків програмного забезпечення.

  • Spectral https://spectralops.io/

Spectral надає автоматизовану платформу захисту коду для компаній та розробників. Підхід Spectral, орієнтований на розробників, дозволяє захищати програмне забезпечення та безкоштовно доставляти його на будь-яку платформу за рахунок виявлення та усунення недоліків безпеки в реальному часі, які можуть призвести до масових витоків даних та проблем з безперервністю бізнесу.

  • Dustico https://dusti.co/

Демонструючи зростаюче значення захисту ланцюжків поставок програмного забезпечення, Dustico – незважаючи на те, що була придбана ізраїльською кібер-фірмою Checkmarx. Dustico надає платформу динамічного аналізу вихідного коду для запобігання атакам на ланцюжок поставок програмного забезпечення з відкритим вихідним кодом. Його пісочниця коду виявляє шкідливу поведінку у змінах коду (поєднуючи статичний та динамічний аналіз), допомагаючи запобігти небажаному шкідливому коду та пакетам з відкритим вихідним кодом до того, як код буде розгорнутий у виробничому середовищі.

  • Cycode https://cycode.com/

Cycode використовує свій запатентований механізм Source Path Intelligence, щоб надати командам ІТ-безпеки видимість усіх своїх локальних та хмарних систем управління вихідним кодом, автоматично виявляючи аномалії та реагуючи на них, доступ до вихідного коду, переміщення та маніпуляції. Cycode дозволяє користувачам швидко та ефективно реагувати на загрози в міру їх появи, впроваджуючи нові заходи безпеки та коригуючи існуючі.