Veracode nutzt ML-Techniken für sicherere Software Composition Analysis
Mit Machine-Learning-Methoden soll Software auch auf Schwachstellen getestet werden können, die noch nicht in der National Vulnerability Database gelistet sind.
Der auf Cloud-Dienste zur Sicherheitsanalyse für Web- und mobile Anwendungen spezialisierte Anbieter Veracode hat eine neue Version seiner Software Composition Analysis (SCA) vorgelegt. SCA ist Teil der Application-Security-Plattform, die insbesondere auch Entwicklern Hilfestellung dabei leisten soll, Bugfixes für Software und Softwarekomponenten nach dem Risiko und der Wahrscheinlichkeit der Ausnutzung durch Angreifer zu priorisieren. Bei der neuen Version der SCA nutzt Veracode erstmals auch Machine-Learning-Modelle, um auf Schwachstellen zu prüfen, die noch nicht in der National Vulnerability Database (NVD) registriert sind.
Data-Mining- und ML-Methoden für die Schwachstellensuche
Veracode vertraut dabei außerdem auf proprietäre Librarys und Vulnerability-Datenbanken, um anhand von Data-Mining- und ML-Methoden neue Schwachstellen in Open-Source-Software zu identifizieren. Die Software Composition Analysis soll dadurch neben den gängigen CVEs (Common Vulnerabilities and Exposures) auch sogenannte Reserved CVEs und No-CVEs entdecken. Zum Einsatz kommt dabei die Technik von SourceClear, einem Unternehmen, das Veracode im vergangenen Jahr übernommen hatte. Erklärtes Ziel der SourceClear-Integration war es, Entwicklern in DevSecOps-Organisationen zu ermöglichen, Open-Source-Probleme schneller zu priorisieren, zu kategorisieren und zu beheben – was auch die jüngste Ausgabe des von Veracode regelmäßig veröffentlichten Berichts "State of Software Security“ in den Vordergrund stellt.
Schwachstellen-Scans der Software können Entwickler bei Bedarf per Upload der Binarys über das UI oder die API der Application Security Platform einleiten. Neben Java, JavaScript, Node.js und .NET unterstützt Veracode dabei inzwischen auch Applikationen, die in Go, Ruby, Python, PHP, Scala, Objective-C oder Swift geschrieben sind. Darüber hinaus stehen im Rahmen der SCA auch Agenten für Scans der Sourcecode-Repositorys zur Verfügung, die sich entweder manuell über das CLI aktivieren lassen oder in einer Continuous Integration Pipeline eingebunden sind.
Agenten für Auto Pull Requests
Über die Agenten lassen sich dann Funktionen wie die Vulnerable Method Detection (VMD), Auto Pull Requests und Container Scanning von Docker-Containern nutzen. Die VMD liefert Hinweise auf Codezeilen, von denen möglicherweise die Aufrufe der angreifbaren Komponenten ausgehen. Während SCA Vorschläge zum Einsatz alternativer, sichererer Librarys bereithält, generiert die Auto-Pull-Requests-Funktion automatisch Pull Requests, die mit dem Code in GitHub, GitHub Enterprise oder GitLab zusammengeführt werden können. Nähere Informationen zu sämtlichen neuen Funktionen der Software Composition Analysis finden sich im Blogbeitrag von Veracode. (map)