WhiteSource menambahkan deteksi, perbaikan untuk kerentanan kode khusus

WhiteSource menambahkan deteksi, perbaikan untuk kerentanan kode khusus

Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini.


WhiteSource hari ini berkembang melampaui pengamanan penggunaan kode sumber terbuka dalam pengembangan aplikasi, dengan peluncuran solusi baru untuk mengamankan kode kepemilikan yang dikembangkan secara khusus. Pengenalan deteksi dan perbaikan untuk kerentanan dalam kode kustom pada akhirnya akan mengubah platform vendor menjadi “toko serba ada yang melayani semua kebutuhan keamanan aplikasi,” kata salah satu pendiri dan CEO Rami Sass.

Penyedia lama analisis komposisi perangkat lunak (SCA), yang mengamankan kode sumber terbuka, WhiteSource sekarang akan dapat melayani pelanggan yang mencari keamanan kode kustom melalui pengujian keamanan aplikasi statis (SAST), juga. Solusi SAST perusahaan umumnya tersedia mulai hari ini, dan didasarkan pada akuisisi baru-baru ini dari dua perusahaan rintisan Eropa, bersama dengan pekerjaan pengembangan internal perusahaan itu sendiri.

WhiteSource mengakuisisi SAST deteksi startup Xanitizer pada pertengahan Desember, dan pemindaian SAST startup DefenseCode pada pertengahan Januari. Akuisisi tersebut sebelumnya tidak diungkapkan.

‘Platform terpadu’

Sementara SCA dan SAST mencakup sisi spektrum yang berbeda dalam pengembangan perangkat lunak, kedua solusi tersebut “keduanya melihat aplikasi yang sama, dikembangkan oleh insinyur yang sama, di dalam organisasi yang sama,” kata Sass dalam sebuah wawancara dengan VentureBeat. “Jadi masuk akal untuk memiliki kedua teknologi ini hidup berdampingan dalam platform terpadu — karena orang yang sama pada akhirnya harus memperbaiki kerentanan tersebut.”

Dengan peluncuran awal hari ini dari solusi WhiteSource SAST, penawaran SCA dan SAST tidak akan terintegrasi satu sama lain — tetapi rencananya adalah untuk mengintegrasikan kedua belah pihak pada awal paruh kedua tahun ini, menurut Sass.

Langkah ini merupakan tanggapan atas permintaan pelanggan akan platform terkonsolidasi dalam keamanan kode aplikasi. “Mereka ingin mendapatkan semua kerentanan ini dari sumber yang sama, dan mereka ingin memiliki alur kerja yang sama untuk memperbaikinya,” kata Sass.

Ekspansi juga mewakili “ peluang pertumbuhan besar” bagi perusahaan, katanya, mengingat pasar SAST kira-kira lima hingga enam kali ukuran pasar SCA. “Ini benar-benar memberi kami banyak ruang untuk terus tumbuh dengan kecepatan yang dipercepat, seperti yang kami alami selama empat atau lima tahun terakhir,” kata Sass.

deteksi kerentanan kode dalam solusi SAST WhiteSource akan “terdepan di industri” dalam hal menawarkan beberapa kesalahan positif, dan mampu memindai kekurangan antara 10 dan 100 kali lebih cepat daripada solusi lama, menurut Sass. Tapi pembeda sebenarnya ada pada kemampuan remediasi, katanya.

“Di dunia SAST, semua solusi selalu berusaha meyakinkan Anda bahwa deteksi mereka lebih baik. Tetapi hampir tidak ada orang yang mencoba untuk memperbaiki kerentanan untuk Anda,” kata Sass.

Bahkan ketika solusi lain mencoba membantu dengan remediasi, pendekatan biasanya melibatkan baik menunjukkan tempat dalam kode di mana pemecah masalah harus dibuat, atau memberikan pendidikan kepada pengembang tentang bagaimana mereka harus memperbaiki kerentanan semacam ini — tetapi bukan kerentanan spesifik yang dimaksud, katanya.

Namun, dengan solusi WhiteSource SAST, “kami mengambil pendekatan untuk benar-benar memecahkan masalah Anda — yang sangat unik,” kata Sass.

Sementara teknologi deteksi kerentanan dalam solusi didasarkan pada dua akuisisi baru-baru ini, kemampuan remediasi telah dikembangkan secara internal di WhiteSource selama setahun terakhir, katanya. “Kami memiliki tim khusus yang terdiri dari pakar domain PhD yang mengerjakannya. Kami telah mengajukan sejumlah paten. Ini masalah yang sangat kompleks,” kata Sass. “Tetapi kami sangat senang dengan kemampuan kami untuk benar-benar memecahkan masalah keamanan untuk Anda, dan tidak hanya dapat melaporkannya.”

Ini mengikuti kemampuan serupa WhiteSource di SCA, yang menyediakan perbaikan otomatis untuk kode sumber terbuka, dan memulai debutnya tiga tahun lalu.

“Kami adalah orang pertama yang memperkenalkan gagasan untuk secara otomatis memulihkan kerentanan di dependensi. Dan sekarang kami telah melakukannya dalam produksi untuk puluhan ribu proyek pelanggan nyata, ”kata Sass. “Pada waktu itu, kami juga memiliki beberapa vendor lain di luar angkasa yang menyalin solusi kami.”

Apa yang telah ditemukan perusahaan sejak meluncurkan kemampuan adalah bahwa perbaikan otomatis adalah “penghasil nilai yang sangat besar,” katanya.

“Nilai sebenarnya yang dapat diperoleh siapa pun dari segala jenis solusi keamanan aplikasi adalah jika mereka mampu menghilangkan kerentanan dari aplikasi mereka. Hanya mengetahui tentang kerentanan tidak melakukan apa pun untuk menghentikan serangan atau peretasan, ”kata Sass. “Jadi sekarang, itu adalah sesuatu yang akan kami transfer ke dunia analisis statis untuk kode kepemilikan.”

Pada akhirnya, di seluruh kode open source dan kustom, “kami adalah satu-satunya yang dapat sepenuhnya mengotomatiskan tindakan memperbaiki kerentanan — dan bukan hanya menemukannya,” katanya.

Daftar Isi

Pertumbuhan semburan

Perluasan penawaran WhiteSource datang setelah perusahaan telah melihat pertumbuhan yang kuat, menurut Sass. Pendapatan naik 800% selama tiga tahun terakhir, dan pada kuartal keempat tahun ini, perusahaan menutup kesepakatan pelanggan utama—senilai $9 juta—dengan vendor perangkat lunak besar (nama pelanggan tidak diungkapkan).

WhiteSource melampaui 1.000 pelanggan tahun lalu dan sekarang melaporkan memiliki lebih dari 1.100 pelanggan. Pelanggan termasuk Microsoft, IBM, Comcast, The Home Depot, Mastercard, Bosch, Schlumberger, Roche, Berkshire Hathaway, PWC, dan KPMG.

Dengan kantor di Israel, Amerika Serikat Kingdom, dan Boston, Mass., WhiteSource memiliki lebih dari 300 karyawan. Perusahaan telah mengumpulkan $121,2 juta sejak didirikan pada 2011, terakhir menutup putaran seri D senilai $75 juta pada April 2021.

WhiteSource tidak mengungkapkan persyaratan dari dua seri terbarunya akuisisi. DefenseCode yang berbasis di Kroasia membawa tujuh karyawan, sementara Xanitizer yang berbasis di Jerman membawa empat.

‘Titik balik’ dalam keamanan kode

Sementara minat terhadap solusi keamanan kode terus berkembang sejak 2014, ketika kerentanan Heartbleed dan Shellshock diungkapkan, 2021 jelas merupakan “titik balik”, Sass dikatakan. Penemuan kerentanan kritis di perpustakaan logging Apache Log4j yang banyak digunakan mengakhiri tahun yang telah melihat pertumbuhan besar dalam kesadaran seputar risiko keamanan kode, katanya.

“ Titik balik utama pada tahun 2021 adalah munculnya jenis kerentanan aplikasi baru — serangan rantai pasokan — yang sangat berbeda dari apa yang telah kita lihat secara historis,” kata Sass.

Di masa lalu, “semua kerentanan ini tidak disengaja,” katanya. “Beberapa pengembang yang bermaksud baik dalam proyek open source memiliki bug — tetapi itu tidak berarti ada kerentanan.”

Tapi kemudian, di ujung ekor tahun 2020, pelanggaran rantai pasokan perangkat lunak SolarWinds ditemukan. Dan itu diikuti beberapa bulan kemudian oleh serangan lain yang dilakukan dengan memasukkan kode berbahaya ke dalam aplikasi selama proses pengembangan, termasuk serangan Kaseya dan Codecov.

Sampai saat ini, kerentanan dalam kode “ada di sana karena kesalahan,” kata Sass. “Dengan serangan rantai pasokan, seseorang dengan sengaja mencoba menanamkan kerentanan ini, dan kemudian melakukan semua yang mereka bisa untuk menutupi jejak mereka. Jadi itu bukan sesuatu yang belum pernah kita lihat sebelumnya, dan itu mendorong lebih banyak kesadaran tentang masalah ini.”

Misi VentureBeat akan menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Belajarlah lagi

Baca selengkapnya