Checkmarx 收购开源供应链安全初创公司 Dustic

Dustico 成立于 2020 年，提供动态源代码分析平台，该平台采用机器学习来检测软件供应链中的恶意攻击和后门。此次收购将使 Checkmarx 将其 AST 功能与 Dustico 的行为分析技术相结合，让客户能够综合了解开源软件包的风险和声誉，从而提供一种更全面的方法来防止供应链攻击。这笔交易是在供应链攻击急剧增加的情况下进行的，其中威胁行为者将恶意代码插入到受信任的软件或硬件中。去年 12 月，有消息称俄罗斯黑客入侵了软件公司 SolarWinds，在其 IT 管理工具 Orion 中植入恶意代码。这使得黑客——后来被确定为俄罗斯的外国情报局 (SVR)——可以访问多达 18,000 个使用 Orion 软件的网络。 Dustico 的技术类似于 Sonatype 提供的技术，使用三管齐下的方法分析开源包。首先，它考虑信任，提供对开源社区中软件包提供者和个人贡献者的可信度的可见性，然后检查软件包的健康状况以确定它们的维护水平。最后，Dustico 的高级行为分析引擎会检查包并查找隐藏在其中的恶意攻击，包括后门、勒索软件、多阶段攻击和木马。两家公司表示，这种洞察力，再加上 Checkmarx 的 AST 解决方案的漏洞结果，旨在让组织和开发人员更深入地了解与开源相关的风险以及依赖它们的供应链。 Checkmarx 首席执行官 Emmanuel Benzaquen 表示：“我们很高兴欢迎 Dustico 及其团队加入 Checkmarx，因为以色列技术生态系统继续推动网络安全创新和人才的发展。” “将 Dustico 的差异化开源分析方法与 Checkmarx 的安全测试功能相结合，将为我们的客户带来颠覆性价值，帮助他们应对保护软件供应链的挑战。”收购 Dustico 之前，Checkmarx 于 2020 年 3 月被私募股权公司 Hellman & Friedman 以 11.5 亿美元的估值收购。 在此之前，该公司于 2015 年以 8400 万美元的投资出售给 Insight Partners。