Kusari, стартап безопасности цепочки программного обеспечения, запустил Kusari Inspector, инструмент с AI, который обеспечивает информацию о безопасности и рекомендации GO/не-хол непосредственно в ходе запросов GitHub.
С учетом инструмента Kusari стремится помочь разработчикам выявить и исправить уязвимости безопасности до объединения кода, решая растущую проблему атак в цепочке поставок, которые увеличились на 156% за год, сообщила компания.
Изменение безопасности осталось в рабочем процессе разработки
Вместо того, чтобы отводить проблемы безопасности на обзоры поздней стадии или аудиты после развертывания, Kusari Inspector привносит то, что компания называет «продленным левым» (в отличие от «сдвига налево») подход к безопасности цепочки поставок. Когда разработчики открывают запрос на вытяжение, инструмент автоматически проверяет измененные файлы и анализирует полную график зависимостей, включая транзитивные зависимости, чтобы раскрыть потенциальные проблемы безопасности.
«Инспектор Kusari ставит надежную информацию о безопасности прямо там, где они нуждаются в разработчиках: в их запросах»,-сказал Тим Миллер, генеральный директор и соучредитель Kusari. «Рекомендации поступают из анализа Кусари по всему графику зависимости, включая практику безопасности и происхождение кода, поэтому результат всегда является действующим — нет никакого беспокойства по поводу« штрафной AI ». Пойдя по уязвимостям и рискованным зависимостям, команды могут двигаться быстрее и отправлять более безопасный код ».
Более того, почти 80% кода среднего приложения в настоящее время поступает из зависимостей с открытым исходным кодом, в то время как компании ограничивают контроль над тем, что входит в их программное обеспечение, сказал Миллер. Между тем, регулирующее давление растут от таких инициатив, как Закон о кибер -устойчивости Европы и растущие требования от корпоративных клиентов.
Помимо традиционных инструментов сканирования
Что отличает инспектора Кусари от других инструментов сканирования безопасности, так это его подход к интеграции ИИ. Вместо того, чтобы просто бросать большую языковую модель (LLM) в исходный код, инструмент сначала запускает установленные сканирования безопасности, включая статическое тестирование безопасности приложений (SAST), секретное сканирование и анализ зависимости. Затем ИИ синтезирует эти результаты, чтобы отфильтровать шум и определить приоритеты подлинных угроз безопасности.
«Мы думаем, что наш анализ зависимостей не имеет себе равных»,-сказал Майкл Либерман, технический директор и соучредитель Кусари во время недавнего интервью. «У нас хорошее понимание транзитивных зависимостей. Поэтому, как и многие существующие инструменты сканирования, просто вроде сканируют:« Эй, у вас есть проблема, потому что вы включаете log4j ». Но когда вы смотрите на свой Maven Pom [Project Object Model] Файл, он на самом деле не указан там, верно? Это потому, что вы используете Spring или что -то в этом роде ».
По словам Либермана, этот подход с учетом контекста помогает разработчикам понять не только вопрос безопасности, но и почему это имеет значение в их конкретной кодовой базе. Например, инструмент может различать уязвимость в инъекции SQL в коде производства в сравнении с кодом тестового кода, что приоритет первым при этом все еще отмечая последнее для будущего внимания.
Обращаясь к усталости на предупреждение
Ключевой задачей, целью которого является решение о том, что инструмент является усталостью безопасности, сказал Либерман новому стеку. Традиционные инструменты безопасности часто перегружают разработчиков сотнями или тысячами выводов, что затрудняет определение того, какие проблемы требуют немедленного внимания.
«Когда все, по -видимому, является приоритетом, тогда ничто не становится приоритетом, когда дело доходит до решения реальных проблем», — отметил Либерман. «Слишком много инструментов сегодня просто захлопнули вас миллионом разных вещей».
По его словам, Kusari Inspector предоставляет четкие рекомендации GO/не-хол с конкретным руководством по восстановлению. Инструмент может обнаружить обнаруженные учетные данные, небезопасные рабочие процессы GitHub, зависимости с плохой осанкой безопасности, опечатки пакетов и общие недостатки кода. Результаты появляются в виде комментариев непосредственно по запросам на привлечение, что позволяет разработчикам решать проблемы в рамках своего существующего рабочего процесса.
Интерактивные возможности ИИ
Помимо статического анализа, Kusari Inspector включает в себя интерактивные функции, которые позволяют разработчикам общаться с моделью ИИ, чтобы прояснить результаты, задавать вопросы или предоставить обратную связь. Этот разговорной аспект помогает разработчикам, которые не могут быть экспертами по безопасности понять контекст и важность результатов.
По словам Либермана, этот инструмент также автоматически генерирует данные счета программного обеспечения (SBOM) для подключенных проектов и репозитории, поддерживая требования к соблюдению и инициативы по прозрачности цепочки поставок.
Компания и рыночный контекст
Кусари был основан в 2022 году тремя экспертами по кибербезопасности с опытом в области финансовых технологий и государственных контрактов. Основатели ранее работали в таких организациях, как Bridgewater Associates, UBS, Citi и Raytheon, где они создавали пользовательские решения безопасности для корпоративных сред.
Такие компании, как Coderabbit, Sonarqube и Aikido Security, являются конкурентами или потенциальными конкурентами Кусари. По словам Либермана, название компании, Кусари, означает «цепочка» на японском языке, подчеркивая цель компании по обеспечению цепочки поставок программного обеспечения.
Кусари активно участвует в инициативах безопасности с открытым исходным кодом, а Либерман занимал должность избранного члена правления в Фонде безопасности с открытым исходным кодом (OpenSSF). Кусари поддерживает ключевые проекты, в том числе график OpenSSF для понимания композиции артефакта (GUAC).
«Мы активно участвуем в открытом исходном коде, поэтому мы так знакомы с тем, как работает открытый исходный код и какие риски есть», — объяснил Либерман.
Доступность и цены
Инспектор Kusari теперь обычно доступен для репозиториев GitHub с 30-дневным бесплатным испытанием. После испытательного периода инструмент стоит 10 долларов за место в месяц. Компания планирует расширить поддержку на другие платформы управления исходным кодом (включая Gitlab) и интегрировать результаты непосредственно в разработчики IDE.
Для корпоративных клиентов Kusari предлагает более полную платформу, которая может привязать индивидуальные результаты с организационными зависимостями и отношениями между командами и проектами.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
