Come la vulnerabilità Log4j ha dimostrato in modo viscerale, il codice open source è inestricabile dal software moderno. Gli sviluppatori incorporano componenti, snippet e librerie da fonti come GitHub quando scrivono i propri programmi in modo da non dover reinventare la ruota ogni volta che costruiscono un carrello. Ma ciò significa che la maggior parte dei software ha dipendenze di cui nemmeno gli sviluppatori sono a conoscenza, il che può portare a non rendersi conto di quando un rapporto di vulnerabilità si applica alle loro applicazioni mission-critical o a dover affrettarsi per correggere una grave vulnerabilità che è completamente isolata da qualsiasi fonte. codice e quindi innocuo.
"Con il 90% del codice nelle applicazioni moderne che è open source e il 95% delle vulnerabilità riscontrate in dipendenze transitive [i pacchetti software introdotti automaticamente dall'OSS], i team di sicurezza hanno difficoltà a dare la priorità ai giusti rischi su cui lavorare gli ingegneri", afferma Thuy Nguyen, direttore della generazione della domanda presso Laboratori Endor. E questo è l’obiettivo dell’azienda: dare priorità al rischio attraverso software open source, pipeline CI/CD e segreti.
Endor lo fa utilizzando la gestione del ciclo di vita delle dipendenze, che tiene conto di una serie di parametri per calcolare un punteggio di rischio complessivo che un'azienda può utilizzare per impostare le policy di sicurezza. Sottolinea il modo in cui viene utilizzata una dipendenza nell'organizzazione piuttosto che la gravità di una vulnerabilità. Anche la vulnerabilità peggiore, si pensa, non ha importanza se un aggressore non riesce effettivamente a raggiungerla.
Perché l'analisi di raggiungibilità?
L’azienda chiama il suo approccio “analisi della raggiungibilità”. Costruendo un inventario completo del software e poi tracciando ogni percorso verso una vulnerabilità, Endor afferma di poter determinare quali vulnerabilità devono essere risolte immediatamente e quali possono essere messe da parte. Gli utenti possono interrogare la piattaforma Endor Labs utilizzando DroidGPT, un chatbot ora in versione beta, per capire quale pacchetto open source possono utilizzare al posto di uno più vulnerabile.
Ciò che Endor si distingue davvero, afferma Nguyen, è il suo personale: un terzo del team di ricerca e sviluppo ha conseguito un dottorato. L'attenzione alla specializzazione porta alla "decisione dell'azienda di affrontare un problema alla volta per risolverlo nel modo giusto". lei dice.
Il primo problema erano le dipendenze open source. "Abbiamo deciso di iniziare da lì e di investire molto nell'analisi della raggiungibilità prima di passare ad altre soluzioni", afferma Nguyen.
Le prossime aree di interesse saranno prioritarie: scansione segreta e gestione della catena di fornitura/gestione della configurazione, aggiunge.
Ritorno del Concorso
I quattro finalisti del Riflettori sulle startup di Black Hat — Endor Labs, Gomboc, Binarly e Mobb - presenteranno i loro modelli di business alla giuria del Mandalay Bay di Las Vegas mercoledì 9 agosto. (Tra i finalisti, Endor Labs è l'unico che fatto anche la finale alla Sandbox per l'innovazione RSAC del 2023.) Il redattore capo di Dark Reading, Kelly Jackson Higgins, ospiterà l'evento, che inizierà alle 4:30. P.T.
Se parteciperai a Black Hat di persona, Endor Labs spera di attirarti al suo stand con una demo della piattaforma, una simpatica mascotte e portachiavi/apribottiglie di Star Wars. Potresti anche ricevere un invito all'evento Endor Labs presso il driving range e il bar dello sport Topgolf.
Parlando di Endor, il malloppo è un indizio dell'ispirazione per il nome dell'azienda. No, non si riferisce al villaggio cananeo dove il biblico Saulo consultò una strega. In questo caso, Endor è la luna forestale dell'universo di Star Wars dove vivono gli Ewok. Il team di ricerca sulla sicurezza dell’azienda è addirittura chiamato “Stazione 9” in onore di una stazione di ricerca su Endor.
Come dice Nguyen, "La storia dietro il nome è semplice: siamo solo dei grandi nerd".
Speed Round
Sito web: https://www.endorlabs.com/
Fondato: 2022
Fase di finanziamento: Seme
Finanziamento totale raccolto finora: $ 25M
Numero di dipendenti: 50
Se la compagnia fosse una band, quale sarebbe il nome della sua band e che tipo di band sarebbe: "Saremmo semplicemente chiamati The Ewoks e suoneremmo synth-rock futuristico."
Ananas sulla pizza, sì o no?: "Abbiamo postato questa domanda alla società Slack e ha quasi scatenato una guerra civile, ma il risultato è stato una divisione esatta 50/50, che il nostro team di marketing risolverà e deciderà SÌ per l'ananas sulla pizza."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/dr-tech/startup-spotlight-endor-labs-focuses-on-reachability
- :ha
- :È
- :non
- :Dove
- ][P
- 30
- 7
- 9
- 95%
- a
- WRI
- Il mio account
- operanti in
- effettivamente
- Dopo shavasana, sedersi in silenzio; saluti;
- anche
- an
- .
- ed
- in qualsiasi
- applicazioni
- approccio
- aree
- At
- frequentando
- attrarre
- Agosto
- automaticamente
- lontano
- BAND
- bar
- Baia
- BE
- prima
- iniziare
- dietro
- essendo
- beta
- Nero
- Black Hat
- Blackhat
- Rompere
- portato
- costruire
- Costruzione
- affari
- ma
- by
- calcolare
- Bandi
- Materiale
- Custodie
- catena
- chatbot
- codice
- azienda
- completamento di una
- completamente
- componenti
- crittografico
- taglio
- ciclo
- Scuro
- Lettura oscura
- decide
- decisione
- Richiesta
- dimostrazione
- dimostrato
- Dipendenza
- Determinare
- sviluppatori
- Direttore
- effettua
- doesn
- don
- guida
- guadagnato
- Editor-in-chief
- sottolinea
- dipendenti
- Ingegneria
- Anche
- Evento
- Ogni
- lontano
- figura
- finalisti
- Nome
- Fissare
- fisso
- Focus
- si concentra
- Nel
- foresta
- Avanti
- essere trovato
- quattro
- da
- finanziamento
- futuristico
- ELETTRICA
- ottenere
- GitHub
- Go
- va
- ha
- Avere
- pesantemente
- spera
- host
- Come
- HTML
- HTTPS
- Enorme
- if
- in
- incorporare
- Innovazione
- Ispirazione
- ai miglioramenti
- inventario
- Investire
- invitare
- IT
- SUO
- Jackson
- ad appena
- Genere
- Sapere
- Labs
- LAS
- Las Vegas
- portare
- biblioteche
- Vita
- piace
- vivere
- log4j
- fatto
- gestione
- Marketing
- Matters
- max-width
- si intende
- Metrica
- forza
- modelli
- moderno
- Moon:
- Scopri di più
- maggior parte
- cambiano
- andare avanti
- Nome
- Detto
- Bisogno
- GENERAZIONE
- Nguyen
- no
- adesso
- of
- MENO
- on
- ONE
- esclusivamente
- aprire
- open source
- or
- organizzazione
- Oss
- Altro
- nostro
- su
- complessivo
- proprio
- pacchetto
- Packages
- pannello di eventi
- sentiero
- persona
- Pizza
- posto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- Termini e Condizioni
- postato
- presenti
- Dare priorità
- priorità
- prioritizzazione
- Problema
- Programmi
- domanda
- R&D
- sollevato
- gamma
- piuttosto
- RE
- Lettura
- realizzando
- veramente
- rapporto
- riparazioni
- colpevole
- Risultati
- destra
- Rischio
- rischi
- rsac
- s
- dice
- scansione
- Punto
- Cerca
- Segreto
- problemi di
- politiche di sicurezza
- set
- grave
- lei
- Un'espansione
- semplicemente
- allentato
- So
- finora
- Software
- Soluzioni
- RISOLVERE
- Fonte
- codice sorgente
- fonti
- scatenato
- dividere
- Sports
- Riflettore
- STAFF
- Stage
- si
- Stella
- Star Wars
- inizia a
- startup
- riflettore di avvio
- stazione
- Storia
- Lotta
- fornire
- supply chain
- malloppo
- attrezzatura
- prende
- team
- le squadre
- di
- che
- Il
- loro
- poi
- Là.
- di
- Pensiero
- Terza
- questo
- Attraverso
- tempo
- a
- Tracciato
- Universo
- uso
- utilizzato
- utenti
- utilizzando
- varietà
- VEGAS
- Villaggio
- vulnerabilità
- vulnerabilità
- Vulnerabile
- guerra
- Prima
- Modo..
- we
- Mercoledì
- sono stati
- Che
- Ruota
- quando
- quale
- volere
- con
- Lavora
- Salsiccia di assorbimento
- sarebbe
- scrittura
- sì
- Tu
- zefiro