Die moderne Software-Lieferkette stellt eine sich ständig weiterentwickelnde Bedrohungslandschaft dar, wobei jedes hinzugefügte Paket in der Liste neue Angriffsvektoren einführt. Um den Anforderungen der Branche gerecht zu werden, müssen Organisationen einen schnellen Entwicklungsprozess beibehalten und gleichzeitig mit den neuesten Sicherheitspatches auf dem Laufenden bleiben. In der Praxis sehen sich Entwickler jedoch oft mit einer großen Menge an Sicherheitsarbeit ohne klare Priorisierung konfrontiert und übersehen dabei einen erheblichen Teil der Angriffsfläche.
Das Hauptproblem ergibt sich aus den von herkömmlichen Tools zur statischen Code-Analyse (SCA) verwendeten Methoden zur Erkennung und Priorisierung von Schwachstellen. Diese Methoden fehlen der organisationsbezogene Kontext, der für eine informierte Bewertungsentscheidung erforderlich ist: Die Bewertung, selbst wenn sie kritisch ist, ist möglicherweise für eine Organisation nicht wirklich kritisch, da ihre Infrastruktur auf einzigartige Weise arbeitet – was sich auf die tatsächliche Auswirkung auswirkt, die die Schwachstelle haben könnte.
Mit anderen Worten, da diese Tools von einer relativ naiven Methodik abhängen, um das Risiko einer Schwachstelle zu bestimmen, ergeben sich hauptsächlich irrelevante Schwachstellenbewertungen, was die Bestimmung der zuerst zu adressierenden Schwachstellen erheblich erschwert.
Darüber hinaus werden viele Angriffe auf die Lieferkette von ihnen nicht erkannt, wie beispielsweise Typosquatting, bösartige Code-Injektion, CI/CD-Angriffe, etc. Diese Vernachlässigung führt dazu, dass Anwendungssicherheits- (AppSec) Teams und Entwickler sich auf weniger kritische Probleme konzentrieren und dadurch den Entwicklungsprozess verzögern und die Organisation anfällig für erhebliche Angriffsvektoren machen.
Myrror Security entwickelt innovative Lösungen für diese Herausforderungen, indem die Erkennung, Priorisierung und Behebung von Risiken in der Software-Lieferkette revolutioniert wird. Mit der Plattform von Myrror stellen AppSec- und Engineering-Teams sicher, dass sie die richtigen Probleme zur richtigen Zeit angehen, indem sie eine Analyse von Binär- zu Quellcode für jedes Drittanbieterpaket im Quellcode verwenden. Im Gegensatz zu herkömmlichen SCA-Tools, die die Auswirkungen mithilfe der Versionsbestimmung in Manifestdateien bewerten, verwendet Myrror einen eigenen Algorithmus für die Erreichbarkeitsanbindungsschwächenanalyse. Dieser Algorithmus ermittelt, welche Schwachstellen tatsächlich in der Produktion erreicht werden können, und ermöglicht es Myrror somit, Sicherheitsprobleme genau zu priorisieren.
Dieser Plattformüberblick führt Sie durch die gesamte Benutzerreise von Myrror, von der anfänglichen SCM-Integration bis zum Remediationsplan-Generator, und bietet einen kurzen Überblick über die Innovationen, die Myrror Security eingeführt hat, um die Alarmmüdigkeit zu verhindern, Ihre Organisation effektiver arbeiten zu lassen und sie vor den Bedrohungen der modernen Software-Lieferkette zu schützen.
Der Artikel beschreibt anschließend den Einstiegs- und Setup-Prozess von Myrror, der darauf ausgelegt ist, eine einfache Installation auf der vorhandenen SCM-Plattform der Organisation zu ermöglichen. Sobald Myrror mit Ihrem SCM verbunden ist, beginnt ein Entdeckungsprozess der Abhängigkeiten der Organisation. Die Organisation kann später bestimmte Repositories für die aktive Schwachstellen- und Lieferkettenangriffsprüfung auswählen, um einen priorisierten Überblick über identifizierte Risiken zu erhalten.
Es gibt auch eine Entdeckungssektion, mit der die Lieferanfälligkeiten des Codebases überprüft werden können. Der Abschnitt „Repositorien“ zeigt alle Probleme in jedem überwachten Repository und ermöglicht es Ihnen, festzulegen, welche überwacht werden sollen und welche ignoriert werden sollen. Dies dient als Steuerungszentrale über alle Ihre Repositorien. Der Abschnitt „Abhängigkeiten“ aggregiert jede Open-Source-Abhängigkeit in Ihrem Codebase und erstellt eine Grafik aller Repositorien, in denen sie verwendet wird. Dies ermöglicht es Ihnen, ein vollständiges Bild der von Ihrer Organisation verwendeten Open-Source-Bibliotheken zu erhalten.
Der Myrror-Dashboard bietet einen Überblick über die Repositorien, ihre Abhängigkeiten und die enthaltenen Probleme. Es liefert hochrangige Erkenntnisse über die Themen im gesamten Codebase der Organisation, einschließlich Erkennungsstatus, Problemen nach Kategorie, Abhängigkeiten mit Sicherheitsstatus, riskantestem Repository, Problemen pro Code-Sprache, Status der Behebung und veralteten Abhängigkeiten.
Die Kernkomponente der Myrror Security-Plattform ist der „Issues Screen“, auf dem alle Probleme priorisiert und nach ihrer tatsächlichen Schwere, Erreichbarkeit und Ausnutzbarkeit gekennzeichnet sind. Der Screen bietet Einblicke in jedes spezifische Problem. Besonders hervorzuheben ist die Spalte „reachability“, die Myrror von herkömmlichen SCA-Plattformen unterscheidet. Sie bewertet, ob das Problem tatsächlich in der Produktion erreichbar ist, was in die Priorisierung einfließt. Darüber hinaus berücksichtigt die Plattform auch, ob es sich um eine direkte oder indirekte Abhängigkeit handelt, ob eine Korrektur zur Behebung des Problems verfügbar ist und ob ein Exploit in freier Wildbahn bestätigt wurde. Diese Parameter helfen der Plattform, Probleme genau und zuverlässig zu priorisieren.
Darüber hinaus erkennt Myrror neben einfachen Schwachstellen auch verschiedene Formen von Lieferkettenangriffen wie Typosquatting, Dependency Confusion, bösartige Code-Injektion und CI/CD-Angriffe. In solchen Fällen bietet Myrror eine detaillierte Analyse des Angriffs und ermöglicht es den Praktikern, die Situation zu erfassen und das konkrete Glied in der Kette zu identifizieren, das fehlerhaft ist.
Für jedes überwachte Repository erleichtert Myrror den Prozess der Problembeseitigung durch automatische Berechnung der Anzahl der verfügbaren Korrekturen für alle Probleme, wie viele neue Schwachstellen während des Remediationsprozesses eingeführt werden und wie viele Probleme am Ende bleiben.
Zusammenfassend bietet Myrror Security innovative Lösungen zur Erkennung, Priorisierung und Behebung von Risiken in der Software-Lieferkette. Die Plattform ermöglicht eine genaue Priorisierung von Sicherheitsproblemen basierend auf der Erreichbarkeit, bewertet nicht nur Schwachstellen, sondern erkennt auch Lieferkettenangriffe und bietet eine optimierte Lösung zur Beseitigung von Problemen.