ปกป้องซอร์สโค้ดจากการโจมตีไซเบอร์ด้วยแพลตฟอร์ม Application Security Testing จาก Checkmarx ONE

การพัฒนาซอฟต์แวร์กลายเป็นหัวใจสำคัญของการคิดค้นนวัตกรรมในยุคดิจิทัล เมื่อซอฟต์แวร์มีความซับซ้อนมากขึ้น จึงเป็นเรื่องยากที่เหล่านักพัฒนาจะดูแลซอร์สโค้ดของตนให้มั่นคงปลอดภัย Westcon Group (Thailand) ผู้จัดจำหน่ายโซลูชันด้านความมั่นคงปลอดภัยระดับ Enterprise-class จึงได้ร่วมกับ Checkmarx บริษัทชั้นนำระดับโลกด้านการรักษาความมั่นคงปลอดภัยของซอฟต์แวร์ ผู้นำบน Gartner Magic Quadrant 5 ปีติดต่อกัน นำเสนอแพลตฟอร์ม AppSec คือ Checkmarx One AST Platform™ ที่ครอบคลุมมากที่สุดแก่ธุรกิจทุกระดับ เพื่อช่วยลดความเสี่ยงในกระบวนการพัฒนาซอฟต์แวร์ โดยให้บริการทั้งรูปแบบ On-premises และ Cloud

รักษาความมั่นคงปลอดภัยให้แอปพลิเคชันสมัยใหม่ที่เน้นใช้งานบน Cloud

การพัฒนาซอฟต์แวร์สำหรับ Cloud มีสเกลขนาดใหญ่และซับซ้อนกว่าในอดีต ส่งผลให้อาจมีช่องโหว่ซึ่งเสี่ยงต่อการถูกโจมตีได้ Checkmarx One AST Platform™ เป็นเครื่องมือตรวจสอบด้านการรักษาความมั่นคงปลอดภัยของแอปพลิเคชัน ช่วยให้นักพัฒนาสามารถผสานกระบวนการด้านความมั่นคงปลอดภัยเข้าไปทั้งในส่วนของการเขียนโค้ด, สคริปต์, การใช้ Open Source, APIs, Containers, Microservices และอื่นๆ ได้อย่างง่ายดาย ผ่านเทคนิคการสแกนโค้ดเพียงครั้งเดียวที่ครอบคลุมทั้งการทำ Static Analysis, Open Source Analysis และ IaC Security ช่วยให้นักพัฒนาค้นพบช่องโหว่และดำเนินการแก้ไขได้อย่างรวดเร็ว แม่นยำ สร้างการพัฒนาซอฟต์แวร์แบบ DevSecOps

Checkmarx One AST Platform™ ได้รับการออกแบบมาสำหรับลดช่องโหว่และความเสี่ยงของทุกเทคโนโลยีและกระบวนการในปัจจุบัน เริ่มต้นใช้งานได้อย่างรวดเร็วผ่านระบบ Cloud ทั้งยังผสานการทำงานร่วมกับเครื่องมืออื่นๆ และกระบวนการ DevSecOps ขององค์กรได้อย่างไร้รอยต่ออีกด้วย

Checkmarx One AST Platform™ สามารถทำงานครอบคลุมทุกขั้นตอนของ Software Development Lifecycle (SDLC) ประกอบด้วย 7 เครื่องมือย่อย ได้แก่

• Static Application Security Testing (SAST)
• Software Composition Analysis (SCA)
• Supply Chain Security (SCS)
• API Security
• Dynamic Application Security Testing (DAST)
• Infrastructure as Code (IaC) Scanning (KICs)
• Container Security

Checkmarx Fusion – หัวใจสำคัญของ Checkmarx One AST Platform™

เพื่อแก้ปัญหาเต่เรื่อง Manual Correlation ที่ไร้ประสิทธิภาพ และข้อจำกัดของโซลูชันอื่นๆ ในตลาดที่ทำได้แค่รวบรวมผลลัพธ์เข้าด้วยกัน Checkmarx จึงได้พัฒนา Checkmarx Fusion ซึ่งให้บริการ Advanced Correlation บนระบบการพัฒนาแอปพลิเคชันสมัยใหม่ (Modern Application Development) โดยสามารถเชื่อมโยงผลลัพธ์การสแกนช่องโหว่และความเสี่ยงทั้ง Static Analysis และ Dynamic Analysis ของแอปพลิเคชันจากหลากหลายแพลตฟอร์มในกระบวนการ SDLC เข้าด้วยกัน เพิ่มความแม่นยำและลดการเกิด False Positive ให้เหลือน้อยที่สุด

คุณสมบัติที่สำคัญของ Checkmarx Fusion ได้แก่

• Visibility: สร้างแบบจำลองภัยคุกคามโดยการจับคู่ภัยคุกคามเข้ากับแผนภาพที่ดูแล้วเข้าใจได้ง่าย และมีองค์ประกอบครบครัน เช่น ส่วนต่างๆ ของซอฟต์แวร์ ทรัพยากรบน Cloud ที่ถูกใช้ และความสัมพันธ์ระหว่างองค์ประกอบเหล่านั้น
• Correlation: แสดงบริบทของผลลัพธ์การสแกนแต่ละส่วน พร้อมทั้งผสานและเชื่อมโยงผลลัพธ์จากการสแกน Static Code และ Runtime เข้าด้วยกัน ซึ่งช่วยขจัดผลลัพธ์ที่ผิดพลาดอย่าง False Positive
• Prioritization: จัดลำดับความสำคัญของช่องโหว่ตามความเสี่ยงและผลกระทบ เพื่อเน้นการแก้ไขปัญหาที่ส่งผลต่อธุรกิจมากที่สุดตามลำดับ
• Cloud-native: ครอบคลุมการใช้งานบนสถาปัตยกรรมแบบ Cloud-native เช่น Microservices, Cloud Resources, Containers และ APIs โดยสามารถเชื่อมโยงข้อมูลเชิงลึกได้ตั้งแต่ช่วง Pre-deployment ไปจนถึง Runtime

หากไม่มีการเชื่อมโยงความสัมพันธ์กัน อาจส่งผลให้มุมมองด้านความมั่นคงปลอดภัยต่อการพัฒนาแอปพลิเคชันถูกบิดเบือนไป ทำให้ต้องเสียเวลาถอดรหัสและจัดการกับช่องโหว่และการแจ้งเตือนปริมาณมหาศาลที่ซ้อนทับเข้ามาเรื่อยๆ จากเครื่องมือทดสอบต่างๆ ไม่รู้จบ ส่งผลให้เกิดความล่าช้าในการส่งระบบขึ้นใช้งาน หรือที่แย่กว่านั้น คือ เกิดช่องโหว่บนระบบที่ใช้งานจริงซึ่งเสี่ยงต่อการถูกโจมตีได้

Checkmarx One AST Platform™ รองรับการใช้งานร่วมกับภาษาโปรแกรมมากกว่า 30 ภาษา Package Manager และ IaC/API Template ที่หลากหลาย ดังนี้

ครองตำแหน่ง Leader บน Gartner Magic Quadrant ด้าน Application Security Testing 5 ปีซ้อน

Checkmarx เป็นผู้นำด้านการรักษาความมั่นคงปลอดภัยของแอปพลิเคชัน การันตีโดยตำแหน่ง Leader บน Gartner Magic Quadrant ด้าน Application Security Testing (AST) 5 ปีซ้อน ให้บริการเครื่องมือสำหรับตรวจสอบแอปพลิเคชันอย่างครบครันโดยยึดนักพัฒนาเป็นศูนย์กลาง ทั้งยังรองรับการใช้งานร่วมกับแอปพลิเคชันแบบ Low-code อีกด้วย

Gartner ให้ความเห็นเกี่ยวกับจุดแข็งของ Checkmarx ว่ามีฟีเจอร์สำหรับเชื่อมโยงผลลัพธ์ของการสแกน SAST, IaC และ API เข้าด้วยกัน ช่วยให้นักพัฒนาตระหนักถึงปัญหาที่อาจมองไม่เห็นจากการสแกนแบบเดี่ยวๆ ได้ ทั้งยังให้บริการผ่าน Cloud ซึ่งเริ่มต้นใช้งานได้อย่างรวดเร็ว รวมไปถึงมีโมเดลการขายที่ชัดเจน ทำให้ง่ายต่อการคาดการณ์งบประมาณที่ต้องใช้ในแต่ละปี

อ่านรายงานฉบับเต็มของ Gartner ได้ที่: https://info.checkmarx.com/gartner-mq-2022

เปิดตัว Supply Chain Security สำหรับการพัฒนาซอฟต์แวร์

การพัฒนาแอปพลิเคชันสมัยใหม่มีการนำโค้ดและไลบรารี่แบบ Open Source จำนวนมากเข้ามาใช้ในการสร้างแอปพลิเคชันของตน ซึ่งนอกจากจะช่วยประหยัดเวลาในเขียนโค้ดส่วนพื้นฐานแล้ว ยังช่วยเพิ่มความคล่องตัวและความเร็วในการส่งมอบแอปพลิเคชันใหม่อีกด้วย อย่างไรก็ตาม นักพัฒนาจะทราบได้อย่างไรว่าโค้ดและไลบรารี่แบบ Open Source ที่นำมาใช้จะไม่มีช่องโหว่แอบแฝงซึ่งจะนำไปสู่การโจมตีใน Supply Chain เช่น Typosquatting หรือ Repository Jacking (Chainjacking) ได้

เมื่อต้นปี 2022 ที่ผ่านมา Checkmarx ได้เปิดตัว Supply Chain Security (SCS) ซึ่งเป็นส่วนหนึ่งของ Checkmarx Software Composition Analysis (SCA) สำหรับป้องกันการโจมตีที่แอบแฝงหรือใช้ประโยชน์จากการนำซอฟต์แวร์แบบ Open Source เข้ามาใช้ โดยมีความสามารถดังต่อไปนี้

• ค้นหาโค้ดส่วนที่เป็น Open Source แล้วนำมาแสดงในรูป Software Bill of Material (SBOM)
• ตรวจจับโค้ดแปลกปลอมที่ใช้เทคนิคอย่าง Typosquatting หรือ Repository Jacking รวมไปถึงการกระทำที่ไม่พึงประสงค์ต่างๆ
• ประเมินพฤติกรรมของเหล่า Contributor ที่มีส่วนร่วมในโปรเจ็กต์
• เฝ้าระวังพฤติกรรมของโค้ด Open Source ผ่านทางการทำ Static & Dynamic Analysis ภายใน Detonation Chamber
• ดำเนินการ Threat Hunting อย่างต่อเนื่องโดยใช้ฐานข้อมูล Threat Intelligence

Checkmarx จับมือ Westcon Group (Thailand) ให้บริการแพลตฟอร์ม AST ในประเทศไทย

Westcon Group (Thailand) ได้รับการแต่งตั้งให้เป็นผู้จัดจำหน่ายโซลูชัน Application Security Testing (AST) ของ Checkmarx อย่างเป็นทางการในประเทศไทย ครอบคลุมทั้ง 7 เครื่องมือบน Checkmarx One AST Platform™ ได้แก่ SAST, SCA, SCS, API Security, DAST, KICs และ Container Security โดยมีทีมผู้เชี่ยวชาญสำหรับให้คำปรึกษาในการใช้งาน การผสานการทำงานร่วมกับระบบต่างๆ ไปจนถึงการสนับสนุนหลังการขาย ช่วยให้นักพัฒนาและทีมความมั่นคงปลอดภัยสามารถค้นหาช่องโหว่ของโค้ดได้อย่างรวดเร็ว ครอบคลุมทั้งโค้ดและไลบรารี่แบบ Open Source ที่นำมาใช้สร้างแอปพลิเคชันของตนได้ ป้องกันการโจมตีใน Supply Chain และลดความเสี่ยงในกระบวนการพัฒนาซอฟต์แวร์

ต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ Checkmarx One AST Platform™ ติดต่อ

คุณพลอยไพลิน มงคลทรง – Checkmarx Product Manager
โทร: 094-969-5442
อีเมล: ployphailin.mongkonsong@westcon.com

ผู้ที่สนใจสามารถดาวน์โหลด eBook เรื่อง AppSec Considerations for Modern Application Development ไปศึกษาเพิ่มเติมได้ที่ https://info.checkmarx.com/appsec-considerations-in-modern-application-development-westcon