Como a vulnerabilidade do Log4j demonstrou de forma visceral, o código-fonte aberto é inseparável do software moderno. Os desenvolvedores incorporam componentes, trechos e bibliotecas de fontes como GitHub ao escrever seus próprios programas, para que não precisem reinventar a roda toda vez que constroem um carrinho. Mas isso significa que a maioria dos softwares tem dependências que nem mesmo seus desenvolvedores conhecem, o que pode levar a não perceber quando um relatório de vulnerabilidade se aplica a seus aplicativos de missão crítica - ou a lutar para corrigir uma vulnerabilidade grave que está completamente isolada de qualquer fonte. código e, portanto, inofensivo.
“Com 90% do código em aplicativos modernos sendo de código aberto e 95% das vulnerabilidades sendo encontradas em dependências transitivas [os pacotes de software trazidos automaticamente pelo OSS], as equipes de segurança lutam para priorizar os riscos certos para a engenharia trabalhar”, diz Thuy. Nguyen, diretor de geração de demanda da Laboratórios Endor. E esse é o foco da empresa: priorizar riscos em software de código aberto, pipelines de CI/CD e segredos.
A Endor faz isso usando o gerenciamento do ciclo de vida de dependências, que leva em consideração uma variedade de métricas para calcular uma pontuação geral de risco que uma empresa pode usar para definir políticas de segurança. Enfatiza como uma dependência é usada na organização, em vez da gravidade de uma vulnerabilidade. Mesmo a pior vulnerabilidade, segundo o pensamento, não importa se um invasor não conseguir realmente acessá-la.
Por que análise de acessibilidade?
A empresa chama sua abordagem de “análise de acessibilidade”. Ao construir um inventário completo de software e depois rastrear cada caminho até uma vulnerabilidade, a Endor diz que pode determinar quais vulnerabilidades precisam ser corrigidas imediatamente e quais podem ser deixadas de lado. Os usuários podem consultar a plataforma Endor Labs usando o DroidGPT, um chatbot que agora está em beta, para descobrir qual pacote de código aberto eles podem usar no lugar de um mais vulnerável.
Onde a Endor realmente se destaca, diz Nguyen, é em sua equipe: um terço da equipe de P&D obteve doutorado. O foco na especialização se traduz na “decisão da empresa de enfrentar um problema de cada vez para resolvê-lo da maneira certa”. ela diz.
Esse primeiro problema foram as dependências de código aberto. “Tomamos a decisão de começar por aí e investir pesadamente na análise de acessibilidade antes de avançarmos para outras soluções”, diz Nguyen.
As próximas áreas de foco serão a digitalização secreta priorizada e o gerenciamento da cadeia de suprimentos/gerenciamento da postura de configuração, Ela adiciona.
Retorno do Concurso
Os quatro finalistas do Destaque de inicialização de chapéu preto — Laboratórios Endor, gomboc, Binarly e Mobb – apresentarão seus modelos de negócios a um painel de jurados no Mandalay Bay, em Las Vegas na quarta-feira, 9 de agosto. (Dos finalistas, Endor Labs é o único que também chegou à final no Caixa de areia de inovação RSAC 2023.) A editora-chefe da Dark Reading, Kelly Jackson Higgins, será a anfitriã do evento, que começa às 4h30. PT.
Se você estiver participando pessoalmente da Black Hat, a Endor Labs espera atraí-lo para seu estande com uma demonstração de plataforma, um mascote fofo e chaveiros/abridores de garrafas de Star Wars. Você também pode receber um convite para o evento do Endor Labs no driving range e bar de esportes Topgolf.
Falando em Endor, o estilo é uma pista para a inspiração do nome da empresa. Não, não se refere à aldeia cananéia onde a Bíblia Saul consultou uma bruxa. Neste caso, Endor é a lua da floresta no universo Star Wars onde vivem os Ewoks. A equipe de pesquisa de segurança da empresa é chamada de “Estação 9” em homenagem a uma estação de pesquisa em Endor.
Como diz Nguyen: “A história por trás do nome é simples – somos apenas grandes nerds”.
Rodada de velocidade
Website: https://www.endorlabs.com/
Fundada: 2022
Fase de financiamento: Seed
Financiamento total arrecadado até agora: $ 25M
Número de funcionários: 50
Se a empresa fosse uma banda, qual seria o nome da banda e que tipo de banda seria: “Seríamos simplesmente chamados de The Ewoks e tocaríamos synth-rock futurístico.”
Abacaxi na pizza, sim ou não?: “Postámos esta pergunta para a empresa Slack e quase desencadeou uma guerra civil, mas o resultado foi uma divisão exacta de 50/50, que a nossa equipa de marketing irá quebrar e decidir SIM sobre ananás na pizza.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/dr-tech/startup-spotlight-endor-labs-focuses-on-reachability
- :tem
- :é
- :não
- :onde
- ][p
- 30
- 7
- 9
- 95%
- a
- Sobre
- Conta
- em
- Depois de
- tb
- an
- análise
- e
- qualquer
- aplicações
- abordagem
- áreas
- At
- participando
- atrair
- Ago
- automaticamente
- longe
- BANDA
- Barra
- Bay
- BE
- antes
- começar
- atrás
- ser
- beta
- Preto
- Black Hat
- Blackhat
- Break
- Trazido
- construir
- Prédio
- negócio
- mas a
- by
- calcular
- chamadas
- CAN
- casas
- cadeia
- chatbot
- código
- Empresa
- completar
- completamente
- componentes
- criptografia
- Cortar
- ciclo
- Escuro
- Leitura escura
- decidir
- decisão
- Demanda
- demonstração
- demonstraram
- Dependência
- Determinar
- desenvolvedores
- Diretor
- parece
- não
- don
- condução
- ganhou
- editor-chefe
- enfatiza
- colaboradores
- Engenharia
- Mesmo
- Evento
- Cada
- longe
- Figura
- finalistas
- Primeiro nome
- Fixar
- fixado
- Foco
- concentra-se
- Escolha
- floresta
- para a frente
- encontrado
- quatro
- da
- financiamento
- futurista
- geração
- ter
- GitHub
- Go
- vai
- chapéu
- Ter
- fortemente
- espera
- hospedeiro
- Como funciona o dobrador de carta de canal
- HTML
- HTTPS
- enorme
- if
- in
- incorporar
- Inovação
- Inspiração
- para dentro
- inventário
- Investir
- convidar
- IT
- ESTÁ
- Jackson
- apenas por
- Tipo
- Saber
- Laboratório
- LAS
- Las Vegas
- conduzir
- bibliotecas
- vida
- como
- viver
- log4j
- moldadas
- de grupos
- Marketing
- Matéria
- max-width
- significa
- Métrica
- poder
- modelos
- EQUIPAMENTOS
- Moon
- mais
- a maioria
- mover
- Siga em frente
- nome
- Nomeado
- você merece...
- Próximo
- Nguyen
- não
- agora
- of
- WOW!
- on
- ONE
- só
- aberto
- open source
- or
- organização
- Oss
- Outros
- A Nossa
- Fora
- global
- próprio
- pacote
- pacotes
- painel
- caminho
- pessoa
- Pizza
- Lugar
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- políticas
- publicado
- presente
- Priorizar
- priorizado
- priorização
- Problema
- Programas
- questão
- R & D
- angariado
- alcance
- em vez
- RE
- Leitura
- percebendo
- clientes
- Denunciar
- pesquisa
- resultar
- Resultados
- certo
- Risco
- riscos
- rsac
- s
- diz
- exploração
- Ponto
- Pesquisar
- Segredo
- segurança
- políticas de segurança
- conjunto
- grave
- ela
- simples
- simplesmente
- folga
- So
- até aqui
- Software
- Soluções
- RESOLVER
- fonte
- código fonte
- Fontes
- deflagrou
- divisão
- Esportes
- Holofote
- Staff
- Etapa
- fica
- Estrela
- Star Wars
- começo
- inicialização
- destaque de inicialização
- estação
- História
- Lutar
- supply
- cadeia de suprimentos
- ganhos
- equipamento
- toma
- Profissionais
- equipes
- do que
- que
- A
- deles
- então
- Lá.
- deles
- Pensando
- Terceiro
- isto
- Através da
- tempo
- para
- Traçado
- Universo
- usar
- usava
- usuários
- utilização
- variedade
- VEGAS
- Aldeia
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- guerra
- foi
- Caminho..
- we
- Wednesday
- foram
- O Quê
- Roda
- quando
- qual
- precisarão
- de
- Atividades:
- o pior
- seria
- escrita
- sim
- Vocês
- zefirnet