Som Log4j-sårbarheten demonstrerte på en visceral måte, er åpen kildekode uløselig fra moderne programvare. Utviklere inkluderer komponenter, utdrag og biblioteker fra kilder som GitHub når de skriver sine egne programmer, slik at de ikke trenger å finne opp hjulet på nytt hver gang de bygger en vogn. Men det betyr at mesteparten av programvaren har avhengigheter selv utviklerne ikke vet om, noe som kan føre til at de ikke innser når en sårbarhetsrapport gjelder for deres virksomhetskritiske applikasjoner – eller at de prøver å fikse en alvorlig sårbarhet som er fullstendig avskåret fra enhver kilde. kode og dermed ufarlig.
"Med 90 % av koden i moderne applikasjoner som er åpen kildekode og 95 % av sårbarhetene finnes i transitive avhengigheter [programvarepakkene automatisk hentet inn av OSS], sliter sikkerhetsteam med å prioritere de riktige risikoene for engineering å jobbe med," sier Thuy Nguyen, direktør for etterspørselsgenerering ved Endor Labs. Og det er selskapets fokus: å prioritere risiko på tvers av åpen kildekode-programvare, CI/CD-pipelines og hemmeligheter.
Endor gjør dette ved å bruke avhengighetslivssyklusstyring, som tar hensyn til en rekke beregninger for å beregne en samlet risikoscore som et selskap kan bruke til å sette sikkerhetspolicyer. Det understreker hvordan en avhengighet brukes i organisasjonen i stedet for alvorlighetsgraden av en sårbarhet. Selv den verste sårbaren, tenker man, spiller ingen rolle hvis en angriper faktisk ikke kan komme til det.
Hvorfor nåbarhetsanalyse?
Selskapet kaller sin tilnærming "reachability analysis." Ved å bygge opp en komplett beholdning av programvare og deretter spore hver vei til en sårbarhet, sier Endor at den kan bestemme hvilke sårbarheter som må fikses med en gang og hvilke som kan settes til side. Brukere kan spørre Endor Labs-plattformen ved å bruke DroidGPT, en chatbot som nå er i beta, for å finne ut hvilken åpen kildekode-pakke de kan bruke i stedet for en mer sårbar.
Der Endor virkelig skiller seg ut, sier Nguyen, er med sine ansatte: En tredjedel av FoU-teamet har oppnådd doktorgrader Fokuset på spesialisering fører til selskapets "beslutning om å takle ett problem om gangen for å løse det på riktig måte." hun sier.
Det første problemet var åpen kildekode-avhengigheter. "Vi tok beslutningen om å starte der og investere mye i tilgjengelighetsanalyse før vi går videre til andre løsninger," sier Nguyen.
De neste fokusområdene vil være prioritert hemmelig skanning og styring av forsyningskjede/konfigurasjonsstilling, legger hun til.
Retur av konkurransen
De fire finalistene i Black Hat Startup Spotlight — Endor Labs, Gomboc, Binarly og Mobb – vil presentere sine forretningsmodeller for et dommerpanel ved Mandalay Bay i Las Vegas onsdag 9. august. (Av finalistene er Endor Labs den eneste som kom også til finalen på 2023 RSAC Innovation Sandbox.) Dark Readings sjefredaktør, Kelly Jackson Higgins, er vertskap for arrangementet, som begynner klokken 4:30. PT.
Hvis du deltar på Black Hat personlig, håper Endor Labs å tiltrekke deg til standen med en plattformdemo, en søt maskot og Star Wars nøkkelring/flaskeåpnere. Du kan også få en invitasjon til Endor Labs sitt arrangement på Topgolf driving range og sportsbar.
Når vi snakker om Endor, er swag en ledetråd til inspirasjonen til selskapets navn. Nei, det refererer ikke til den kanaaneiske landsbyen hvor det bibelske Saul konsulterte en heks. I dette tilfellet er Endor skogmånen i Star Wars-universet der Ewoks bor. Selskapets sikkerhetsforskningsteam heter til og med "Station 9" etter en forskningsstasjon på Endor.
Som Nguyen sier, "Historien bak navnet er enkel - vi er bare store nerder."
Fartsrunde
nettside: https://www.endorlabs.com/
Grunnlagt: 2022
Finansieringsstadiet: Seed
Totalt innsamlet midler så langt: $ 25M
Antall ansatte: 50
Hvis selskapet var et band, hva ville bandnavnet være, og hva slags band ville det vært: "Vi ville ganske enkelt bli kalt The Ewoks og spille futuristisk synthrock."
Ananas på pizza, ja eller nei?: "Vi postet dette spørsmålet til selskapet Slack, og det utløste nesten en borgerkrig, men resultatet ble en eksakt 50/50-deling, som markedsføringsteamet vårt vil bryte og bestemme JA på ananas på pizza."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/dr-tech/startup-spotlight-endor-labs-focuses-on-reachability
- : har
- :er
- :ikke
- :hvor
- ][s
- 30
- 7
- 9
- 95%
- a
- Om oss
- Logg inn
- tvers
- faktisk
- Etter
- også
- an
- analyse
- og
- noen
- søknader
- tilnærming
- områder
- At
- delta
- tiltrekke
- august
- automatisk
- borte
- BAND
- Bar
- bukt
- BE
- før du
- begynne
- bak
- være
- beta
- Svart
- Black Hat
- Svart hatt
- Break
- brakte
- bygge
- Bygning
- virksomhet
- men
- by
- beregne
- Samtaler
- CAN
- saken
- kjede
- chatbot
- kode
- Selskapet
- fullføre
- helt
- komponenter
- kryptografisk
- Kutt
- syklus
- mørk
- Mørk lesning
- bestemme
- avgjørelse
- Etterspørsel
- demo
- demonstrert
- Avhengighet
- Bestem
- utviklere
- Regissør
- gjør
- doesn
- Don
- kjøring
- opptjent
- redaktør-in-chief
- legger vekt på
- ansatte
- Ingeniørarbeid
- Selv
- Event
- Hver
- langt
- Figur
- finalister
- Først
- Fix
- fikset
- Fokus
- fokuserer
- Til
- skog
- Forward
- funnet
- fire
- fra
- finansiering
- futuristiske
- generasjonen
- få
- GitHub
- Go
- Går
- hatt
- Ha
- tungt
- håper
- vert
- Hvordan
- HTML
- HTTPS
- stort
- if
- in
- innlemme
- Innovasjon
- inspirasjon
- inn
- inventar
- Investere
- invitere
- IT
- DET ER
- Jackson
- bare
- Type
- Vet
- Labs
- LAS
- Las Vegas
- føre
- bibliotekene
- Life
- i likhet med
- leve
- log4j
- laget
- ledelse
- Marketing
- Saker
- max bredde
- midler
- Metrics
- kunne
- modeller
- Moderne
- Moon
- mer
- mest
- flytte
- gå fremover
- navn
- oppkalt
- Trenger
- neste
- Nguyen
- Nei.
- nå
- of
- off
- on
- ONE
- bare
- åpen
- åpen kildekode
- or
- organisasjon
- Oss
- Annen
- vår
- ut
- samlet
- egen
- pakke
- pakker
- panel
- banen
- person
- Pizza
- Sted
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- Politikk
- postet
- presentere
- Prioriter
- prioritert
- prioritering
- Problem
- programmer
- spørsmål
- FoU
- hevet
- område
- heller
- RE
- Lesning
- realisere
- virkelig
- rapporterer
- forskning
- resultere
- Resultater
- ikke sant
- Risiko
- risikoer
- rsac
- s
- sier
- skanning
- Resultat
- Søk
- Secret
- sikkerhet
- sikkerhetspolitikk
- sett
- alvorlig
- hun
- Enkelt
- ganske enkelt
- slakk
- So
- så langt
- Software
- Solutions
- LØSE
- kilde
- kildekoden
- Kilder
- gnist
- splittet
- Sports
- Spotlight
- Staff
- Scene
- står
- Stjerne
- Star Wars
- Begynn
- oppstart
- oppstartsspotlight
- stasjon
- Story
- Struggle
- levere
- forsyningskjeden
- Swag
- takle
- tar
- lag
- lag
- enn
- Det
- De
- deres
- deretter
- Der.
- de
- tenker
- Tredje
- denne
- Gjennom
- tid
- til
- Sporing
- Universe
- bruke
- brukt
- Brukere
- ved hjelp av
- variasjon
- VEGAS
- Village
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- krig
- var
- Vei..
- we
- onsdag
- var
- Hva
- Hjul
- når
- hvilken
- vil
- med
- Arbeid
- verste
- ville
- skriving
- ja
- Du
- zephyrnet