Llegamos a ustedes gracias a:



Noticias

Rezilion lanza Dynamic SBOM para devsecops

[19/05(2022] Con el objetivo de ayudar a las organizaciones a gestionar la seguridad a lo largo del ciclo de vida de desarrollo de software (SDLC), el desarrollador de la plataforma devsecops, Rezilion, está lanzando Dynamic SBOM (lista de materiales de software), una aplicación diseñada para conectarse al entorno de software de una organización para examinar cómo se ejecutan los múltiples componentes en tiempo de ejecución, y revelar errores y vulnerabilidades.

"La rápida transformación digital ha creado una situación en la que la superficie de ataque del software para cualquier organización está cambiando constantemente", señaló Liran Tancman, cofundador y CEO de Rezillion. "Tenemos que pensar en formas más holísticas y fluidas de gestionar las vulnerabilidades del software. Con la introducción de nuestro SBOM dinámico, este es el primer paso de Rezilion en una serie de anuncios de productos que estamos preparando para este año para ofrecer a los clientes exactamente este tipo de solución".

En qué se diferencian los SBOM dinámicos y estáticos

Un SBOM estático puede definirse como una lista de todos los componentes de código abierto y de terceros presentes en el código base de un software. También se incluyen en los SBOM las versiones de los componentes utilizados, las licencias que rigen esos componentes y su estado de parcheo. El objetivo de los SBOM es ayudar a los equipos de seguridad a evaluar mejor los riesgos asociados a los componentes del software.

Los SBOM estáticos permiten realizar un análisis único, a diferencia del diseño continuo/siempre activo de los SBOM dinámicos. Un SBOM dinámico, además de enumerar los componentes presentes en un entorno de software, revela los que se ejecutan en tiempo de ejecución y detalla las numerosas dependencias que tienen.

"A diferencia de los SBOM estáticos, un SBOM dinámico revela si los componentes de software se ejecutan en tiempo de ejecución y cómo lo hacen, lo que proporciona a las organizaciones una solución para entender no solo dónde existen los errores, sino también si podrían ser explotados por los atacantes", anotó Tancman.

Además, añadió Tancman, mientras que un SBOM estático tradicionalmente arroja un inventario de un solo tipo de componente de software, el SBOM dinámico de Rezilion ve todos los componentes de software en desarrollo y producción.

El SBOM mapea el entorno de software

El SBOM de Rezilion se despliega como un plugin para las herramientas de desarrollo y la infraestructura en la nube de la empresa. La tecnología principal de Rezilion hace ingeniería inversa y mapea el entorno de software del cliente, rastreando dinámicamente el uso, la procedencia, el comportamiento y la exposición de cada componente en detalle, y luego mapeando esto a la ejecución en tiempo de ejecución para mejorar la visibilidad de la superficie de ataque.

El SBOM dinámico es un concepto relativamente nuevo, basado en la popularidad de los SBOM en la gestión de la seguridad de la cadena de suministro de software. Tancman dice que no conoce otros SBOM dinámicos similares al de Rezilion, aunque reconoce que empresas como Anchore y Fossa también ofrecen SBOM.

Anchore, por ejemplo, ha lanzado recientemente Anchore Enterprise 4.0, diseñado para identificar las dependencias en los repositorios de código fuente y supervisar el desarrollo de software para detectar la "deriva" de SBOM que puede incluir malware o software comprometido.

Además, Deepfence ha lanzado ThreatMapper 1.3.0, una nueva versión de su plataforma de inteligencia de amenazas de código abierto, que incluye la supervisión de SBOM en tiempo de ejecución.

Cómo se distingue el SBOM de Rezilion

Tancman afirma diferenciar su SBOM con una serie de características que incluyen la identificación y resolución de errores, el escaneo de vulnerabilidades, la implementación del ciclo de desarrollo a producción y las soluciones de informes de resultados. Las capacidades incluyen:

  • Inventario dinámico: Seguimiento y gestión continuos del entorno de software a medida que se introducen cambios;
  • Cobertura de todo el ciclo de la pila: Escanea los componentes de software a través del desarrollo y la producción, on-premesis y en la nube, hosts, contenedores y dispositivos IoT;
  • Búsqueda dinámica: Busca y localiza los componentes vulnerables en archivos, hosts, contenedores y aplicaciones;
  • Formatos exportables (versión premium): Compartir el resultado con los clientes mediante un documento formal VEX (intercambio de vulnerabilidades) o Cyclone DX.