Checkmarx 소개
Why Checkmarx?The leading application security provider
Checkmarx는 개발의 모든 단계를 보호하여 DevSecTrust를 구축하는 최초의 클라우드 네이티브 플랫폼을 제공하는 Enterprise AppSec 리딩 기업입니다. DevSecOps부터 CISO까지 전체 조직의 요구 사항의 균형을 맞춰 처음부터 전체 SDLC에 걸쳐 원활한 보안을 제공합니다.
Checkmarx의 통합 보안 솔루션과 뛰어난 글로벌 서비스는 귀하가 뛰어난 애플리케이션을 구축할 때 원활하고 안전한 엔터프라이즈 소프트웨어 개발과 비교할 수 없는 가시성을 제공합니다. 또한, 신뢰할 수 있는 AppSec 파트너로서 우리는 새로운 취약점, 공격 벡터 및 추세를 찾아내는 기술 전문 지식과 전문 연구를 제공하여 미래의 소프트웨어를 효율적으로 보호하는 데 필요한 정보를 제공함으로써 고객을 최우선으로 생각합니다.
가장 복잡한 코드 환경에서도 위험을 대폭 줄여 고객의 브랜드를 보호하며, 새로운 방향으로 전환하고, 변화를 관리하고, 모든 기술을 원활하게 통합할 수 있도록 도와드립니다.
Open Source Scanning
Source Code Scanning
Interactive Code Scanning
Secure Code Training
Open Source Security for IaC
Checkmarx SCA 개요
Checkmarx Software Composition Analysis오픈소스 위험을 지속적으로 확인하세요
사용자 지정 코드 및 상용 소프트웨어와 마찬가지로 오픈 소스 라이브러리는 조직이 식별하고 우선 순위를 지정하고 해결해야 하는 위험을 초래할 수 있습니다.
Checkmarx SCA(Software Composition Analysis)는 애플리케이션의 오픈소스 위험을 검사하고 권장 업데이트를 제공하며 라이선스 준수를 보장합니다.
Take Control of Your Open Source
보안 취약점으로 인해 중요한 데이터가 노출될 수 있고, 라이선스 요구 사항이 지적 재산을 위태롭게 할 수 있으며, 오래된 오픈 소스 라이브러리로 인해 개발 팀에 불필요한 지원 및 유지 관리 부담을 지게 될 수 있습니다. 오늘날의 빠른 소프트웨어 개발 수명 주기에서 개발 팀은 보안 테스트로 인해 속도가 느려지는 것을 허용할 수 없으며, 보안 팀은 프로덕션 환경에서 취약한 소프트웨어를 보유할 여유가 없습니다.
Checkmarx SCA는 전담 오픈 소스 보안 연구 팀의 지원을 받고, SDLC 전체에 원활하게 통합되어 정확하고 관련성이 높으며 실행 가능한 오픈 소스 위험 인사이트를 제공함으로써 이러한 문제를 해결합니다.
Checkmarx SCA 특징
Checkmarx Software Composition Analysis FeaturesAccurate Results Prioritized for Maximum Impact
Checkmarx SCA는 애플리케이션에서 사용 중인 오픈 소스 구성 요소를 추적하고 추가 확인이 필요한 모호한 일치 항목과 잠재적인 오탐의 긴 목록이 아닌 정확하고 우선순위가 지정된 결과를 제공합니다. 당사의 독점 스캐닝 엔진은 프로젝트 내의 특정 구성 요소 버전과 취약한 함수 호출을 감지하고 빌드 중에 선언된 종속성과 전이적 종속성을 모두 해결합니다. 이는 가장 높은 정확도로 가장 큰 적용 범위를 제공하여 문제 교정 시간을 단축합니다.
Checkmarx는 업계 최고 수준의 SAST가 제공하는 소스 수준의 인사이트를 활용하여 소프트웨어 구성 분석(SCA) 표준을 향상 시켜 보안 팀이 가장 큰 위험을 초래하는 오픈 소스 소프트웨어 내 취약점을 쉽게 식별할 수 있도록 지원하고 개발자가 해결 노력에 집중하고 우선 순위를 지정할 수 있도록 지원합니다. 이를 통해 취약점 탐지 및 교정 시간이 대폭 단축되고 개발자의 생산성이 향상됩니다.
Automated Policy-Driven Open Source Security for DevSecOps
Secure DevOps는 생산성을 저해하지 않으면서 소프트웨어를 생성, 보호 및 배포하는 사람들에게 보안 위험 정보에 대한 액세스를 제공하는 데 달려 있습니다.
Checkmarx SCA는 프로젝트를 자동으로 분석하고 대시보드, 내보낼 수 있는 보고서, 트리거된 이메일 알림, 개발자가 매일 사용하는 도구 내 요약 데이터 등 각 이해관계자와 관련된 방식으로 피드백을 제공합니다. 또한 SCA는 개별 프로젝트 또는 전체 조직에 적용할 오픈 소스 보안 정책을 정의할 수 있습니다. 정책을 위반하면 알림부터 소프트웨어 구축 중단까지 조치가 취해질 수있습니다. SCA를 사용하면 조직에 적합한 오픈 소스 보안 정책을 정의할 수 있습니다.
Checkmarx SCA는 CI 도구와 구축 시스템을 통합해 워크플로를 자동화합니다. 추가적인 유연성을 위해 Checkmarx의 엔드-투-엔드 자동화 플러그인을 사용하여 SDLC 내에서 정적 코드 분석, SCA 및 티켓팅 단계를 관리할 수 있습니다. 당사의 SCA는 Jira를 통한 자동화된 티켓팅을 포함하여, 코드 리포지토리부터 구축, 교정까지 기존 CI/CD 파이프라인과 SDLC 전반에 걸쳐 통합할 수 있습니다.
조직은 리포지토리 수준에서 PR(Pull Requests)를 기반으로 프로젝트 생성 및 분석을 자동화하여 운영을 간소화하고 결함 관리를 위한 지속적인 closed loop 피드백을 제공할 수 있습니다.
Checkmarx SCA 가치
Checkmarx Software Composition Analysis Unique Values보안, IP 및 시간에 대한 위협 찾기
오픈 소스 취약점을 식별하고 심각도 지표(metric), 자세한 설명 및 실행 가능한 교정 지침을 얻습니다. 잠재적인 라이선스 충돌과 규정 비준수로 인한 위험을 식별합니다. 개발 팀에 지원 및 유지보수 부담을 가중시킬 수 있는 오래된 라이브러리가 무엇인지 확인합니다. 자세한 위험 보고서를 생성하거나 API를 통해 데이터를 추출합니다. 프로젝트별 또는 글로벌 오픈 소스 보안 정책을 만들어 오픈 소스 위험을 관리합니다.
유연하고 안전한 제공 옵션
복잡한 인프라 및 구성 문제가 보안 소프트웨어 개발의 장벽이 되지 않도록 하십시오. Checkmarx SCA는 클라우드 기반 또는 온프레미스 SDLC 및 CI/CD 파이프라인을 위한 통합, REST API 및 보안 데이터 통신과 함께 확장 가능한 엔터프라이즈급 클라우드로 제공됩니다.
새로운 위협에 대한 자동적이고 즉각적인 경고
Checkmarx SCA를 통해 이전에 분석된 프로젝트가 제품에 들어간 지 오래되어 영향을 미치는 새로운 취약점을 확인할 수 있습니다. 이메일 알림을 받거나 데이터 추출을 위한 API를 활용하여 다시 스캔할 필요 없이 프로젝트의 새로운 취약점에 대한 경고를 제공합니다.
노력 최적화, 문제 교정 가속화
Checkmarx SCA는 업계 최고의 소스 코드 분석(SAST) 기술을 사용하여 분류 기능을 개선하고 즉각적인 위험에 집중할 수 있도록 해줍니다. 고급 SAST 기능을 활용하여 취약한 구성 요소가 애플리케이션의 실행 경로에 있는지 확인하여 문제 교정 우선 순위를 지정합니다. 상속된 취약점의 정확한 출처를 찾기 위해 복잡한 종속성 경로를 디코딩합니다.
세계적으로 인정받는 보안 연구
Checkmarx 보안 전문가들은 연구에 대한 강력한 인정을 받아왔습니다. 당사의 전담 오픈 소스 보안 연구 팀은 알려진 CVE에 대한 자세한 설명과 교정 지침을 제공하는 데 중점을 두고 있으며, 발견 당시 일치하는 CVE가 없는 Checkmarx 전용 취약점이 있는 NVD와 같은 공개 리소스에서 제공되는 것 이상의 추가 적용 범위를 제공합니다.
워크플로우와 통합
당사의 애플리케이션 보안 테스트(AST) 포트폴리오의 일부인 Checkmarx SCA는 중앙 집중식 통합 사용자 관리, 액세스 제어, 프로젝트 생성 및 스캔 시작 기능을 통한 이점을 제공합니다. 이를 통해 사용자 관리 및 액세스 제어 구성을 크게 간소화하므로 소프트웨어 관리에 소요되는 시간을 줄이고, 소프트웨어 보안 관리에 더 많은 시간을 할애할 수 있습니다.
Checkmarx SCS
Checkmarx Supply Chain Security오픈소스 소프트웨어 공급망 위험을 관리하세요
공격자는 오픈 소스 소프트웨어 공급망(open source software supply)에 악성 패키지를 숨겨 공격을 확산시킵니다. 코드베이스를 안전하게 유지하려면 소프트웨어를 구축하기 전에 패키지에 대한 신뢰할 수 있는 정보가 필요합니다.
Ruduce Your Open Source Risk
모던 애플리케이션을 개발할 때 기업은 엄청난 민첩성을 확보하게 되지만 이 과정에서 외부로부터 유입된 코드를 가져다 쓰는 실체적 위험이 나날이 증가하고 있습니다. Checkmarx SCS는 공급망 위험을 관리하기 위한 솔루션으로 기업의 애플리케이션에 포함된 오픈소스 소프트웨어 공격에 대응하여 보증 수준을 확보할 수 있습니다.
또한, 소프트웨어 공급망으로부터 유입된 오픈소스가 배포나 테스트 시 악성 코드를 확인하고 처리하기 보다는 보안을 ‘시프트 레프트(shift left)’해서 코드 자체에 보다 가깝게 내재화시키면 보안에 대해 훨씬 선제적 접근을 할 수 있고 위험을 효과적으로 관리합니다. Checkmarx SCS는 애플리케이션 보안을 강화할 뿐만 아니라 애플리케이션이 운영 환경에 배포되기 전에 코드 자체에서 위험을 교정해 비용 효율적입니다.
악성 패키지 알림 수신
Checkmarx SCS는 게시된 모든 패키지를 모니터링하고 공격자가 오픈 소스 패키지에 심은 감염된 코드로부터 조직을 보호하는 데 필요한 인텔리전스를 제공합니다.
악성코드 유형 식별
Checkmarx 연구팀은 공개된 패키지를 검색하고 분석하여 암호화폐 채굴 코드, 랜섬웨어, 백도어, 원격 코드 실행 및 기타 특수 목적 악성 코드가 포함된 패키지를 찾습니다.
오픈 소스 패키지에 대한 전체 분석
Checkmarx SCS는 공격자가 오픈 소스 공급망에 침투하기 위해 사용하는 전술, 기술 및 절차(TTPs)를 자세히 설명합니다.
악성 패키지의 의도 파악
Checkmarx 연구팀은 유해한 파일 다운로드, 파일 및 명령 실행, 데이터 유출 또는 기타 악용 등 감염된 코드가 수행하는 작업을 설명합니다.
공급망에 대한 정보를 연중무휴 24시간 유지
Checkmarx SCS는 인식 구축에 도움이 되는 연구 및 위협헌팅(threat-hunting) 활동에 대한 지속적인 업데이트를 제공합니다. 또한 취약점 및 개발자 평판에 대한 데이터베이스에 대한 액세스도 제공합니다.
위협 인텔리전스를 확보하고 수동 분석 제거
Checkmarx 연구팀은 위협 인텔리전스를 제공하고 기여자 평판, 패키지 안정성 및 행동 무결성을 수동으로 분석하여 의심스러운 소스의 코드를 사용하지 않도록 할 필요가 없도록 해줍니다.
위협 인텔리전스를 기존 도구 및 프로세스에 쉽게 통합
오픈 소스 소프트웨어 공급망을 감염시키는 악성 패키지, 위협 행위자 및 최근 캠페인에 대한 최고 수준의 상황 인식을 유지하려면 Checkmarx Supply Chain Threat Intelligence를 구독하세요.
악성 패키지가 애플리케이션의 일부가 되지 않도록 보장
실시간 위협 정보 업데이트 및 경고를 통해 공격자보다 앞서고, 대량 쿼리를 수행하고, 귀중한 통찰력을 얻어 팀이 점점 더 많은 정보를 얻을 수 있도록 함으로써 위험을 줄이고 의존하는 애플리케이션에서 오픈 소스를 안전하게 사용할 수 있습니다.