סינופסיס משתפת פעולה עם מכון התקנים האמריקני בתוכנית חדשה לתקינת סייבר
מאת אבי בליזובסקי שני, 16 מאי 2016 00:26

תוכנית התקינה החדשה של מכון התקנים של ארצות הברית (UL) למכשירים המחוברים לרשת עושה שימוש בכלים של סינופסיס לבדיקת אבטחת המידע של תוכנות

סינופסיס אינק. (נסדאק: SNPS) הכריזה ש-UL, מכון התקנים של ארצות הברית, בחר בכלי בדיקת התוכנה של סינופסיס לשימוש בתוכנית CAP (Cybersecurity Assurance Program) החדשה שהשיק. תוכנית UL CAP היא תוכנית להסמכה שמספקת סקירת אבטחת מידע של צד שלישי ניטרלי עבור מכשירים הניתנים לחיבור לרשת. זאת, בתאימות ל-UL 2900, סדרה של תקני אבטחת סייבר שפותחה באמצעות מידע שהתקבל מקבוצה גדולה של גורמים, ובכללם המשרד לביטחון פנים של ארצות הברית, סינופסיס וגורמים אחרים בתעשיית אבטחת המידע.

תקן UL 2900 מניח בסיס משותף להגנה כנגד פגיעויות מוכרות, נקודות חולשה בתוכנות ונוזקות (malware), ומספק מערך מינימום של בקרות לסיכוני אבטחת מידע. תקן UL עושה שימוש בכלים לבדיקת אבטחת מידע במסגרת פלטפורמת ה-Software Integrity של סינופסיס, בכדי לבדוק מוצרים ומערכות המוגשים לתוכנית CAP על פי כמה דרישות של תקן UL 2900.

הבית הלבן הכיר לאחרונה במסגרת תוכנית הפעולה הלאומית לאבטחת סייבר ב-UL CAP כיוזמת מפתח במאמץ המתואם המשלב בין המשרד לביטחון פנים לבין המגזר הפרטי, בכדי לקדם את אבטחת המידע והעמידות של התשתית הקריטית הלאומית של ארצות הברית.

"מעודד ש-UL, אחד מארגוני מדע הבטיחות הבולטים ביותר בעולם, מגביר את המאמצים לספק מענה לאתגרי אבטחת סייבר הקשורים לתפוצה הנרחבת של מכשירים מקושרים לרשת", אמר אנדראס קוהלמן, סגן נשיא בכיר ומנכ"ל יחידת ה-Software Integrity Group בסינופסיס. "אנחנו מאמינים שההחלטה לשתף פעולה עם סינופסיס בשלבים המוקדמים של תוכנית CAP מהווה הוכחה מהדהדת למחויבות של UL לבנות מסגרת עבודה שמגלמת שלמות תוכנה והקפדה גבוהה על רמת הבדיקה. תוכנית זו מותאמת היטב לפתרונות פלטפורמת בדיקת אבטחת המידע שלנו, והיא מגבירה את החשיבות של Signoff עבור תוכנה ('Software Signoff') – מתודולוגיה הוליסטית ומעמיקה שנשענת על הפלטפורמה שלנו בכדי לשלב את בדיקות אבטחת המידע לכל אורך מחשוב חיי הפיתוח והאספקה של תוכנות".

"שיתוף פעולה זה וההשקה של תוכנית ה-UL CAP הם השיא של המאמצים השקדניים שהתקיימו בשילוב UL, סינופסיס וגורמים רבים אחרים במהלך השנה שחלפה", אמר מייק אחמדי, מנהל עולמי של אבטחת מערכות קריטיות ביחידת ה-Software Integrity Group של סינופסיס. "באמצעות שימוש בכלים ובטכנולוגיה מובילים בתעשייה והתבססות על תקנים קיימים ועל מיטב הפרקטיקות בתעשייה, לתוכנית הזו יש פוטנציאל ליצור השפעה מיידית ומשמעותית על אבטחת המידע של מכשירים מקושרים בכמה ענפים בעלי דרישות גבוהות של בטיחות ובענפים המבוססים על קריטיות של המשימות".

מכון התקנים האמריקני יעשה שימוש בכלים של סינופסיס לבדיקת תוכנה בכדי לספק מענה למרכיבים הבאים בתוכנית ה-Cybersecurity Assurance Program:

פגיעויות ידועות ומוקדים חשופים ידועים – פתרון ה-Protecode™ של סינופסיס סורק את קובצי ההפעלה ואת הספריות של כל תוכנה בכדי לזהות פגיעויות ידועות ומוקדים חשופים ידועים המפורטים במסד הנתונים NVD (National Vulnerability Database) של NIST.

נקודות חולשה בתוכנה – כלי ניתוח הקוד הסטטי Coverity של סינופסיס יהיה בשימוש בכל קוד המקור הזמין למעבדה מצד ספק המוצר, בכדי לחפש נקודות חולשה בתוכנה כפי שמזוהה ברשימות ה-SANS Top 25 וה-OWASP Top 10.

בדיקות עמידות – פתרון Defensics של סינופסיס, כלי בדיקות ה-fuzz אשר משמש בכדי לגלות את פגיעות התוכנה הידועה לשמצה Heartbleed, בודק את כל הממשקים החיצוניים ופרוטוקולי התקשורת של המוצר.

"סינופסיס היתה תורמת משמעותית ביותר לכל אורך שלבי הפיתוח והניסוי של תוכנית UL Cybersecurity Assurance Program ואנו נמשיך לשתף פעולה עם סינופסיס בכדי לשפר את התוכנית ואת השימוש שלה בכלי סינופסיס", אמר רצ'נה סטגאל, מנהל תחום הטכנולוגיות המקושרות ב-UL.

סינופסיס נעזרת בפלטפורמת ה-Software Integrity שלה בכדי לספק פתרונות מתקדמים לשיפור האיכות ואבטחת המידע של תוכנות. פלטפורמה מקיפה זו, הכוללת טכנולוגית אוטומטיות לניתוח ולבדיקה משתלבת בצורה חלקה בתהליך פיתוח התוכנה ומאפשרת לארגונים לאבחן ולתקן ליקויי איכות, פגיעויות אבטחת מידע ובעיות תאימות בשלב מוקדם במחזור חיי פיתוח התוכנה. הפלטפורמה גם מאפשרת להשיג הסמכת אבטחת מידע הכוללת אפשרות לצפות במתרחב בשרשרת אספקת התוכנה של אותם ארגונים".