07/01/2025 di redazione

Veracode combatte le vulnerabilità del software open-source con Phylum

La nuova acquisizione di Veracode è una società che si occupa di sicurezza della supply chain del software.

Nuova acquisizione per Veracode, a meno di un anno dalla precedente. L’azienda specializzata in rilevamento e risoluzione delle vulnerabilità ha acquisito la tecnologia di Phylum, società statunitense fondata nel 2020 da “un team di ricercatori di sicurezza e sviluppatori con decenni di esperienza” nel campo dell’intelligence. 

Questo investimento (il cui ammontare non è stato comunicato) permetterà a Veracode di potenziare la propria piattaforma con capacità di analisi, rilevamento e mitigazione dei pacchetti dannosi presenti nel codice e nelle librerie open-source. Veracode acquisisce anche il team di ricercatori di sicurezza informatica di Phylum.

La sicurezza della supply chain del software, in particolare nell’ambito dell’open-source, è notoriamente un punto dolente per molte aziende utenti di tecnologie informatiche, e nelle cronache degli ultimi anni non sono mancati casi eclatanti come l’exploit del software Orion IT di SolarWinds. Una singola vulnerabilità sfruttata da malintenzionati può produrre effetti a cascata lungo la catena di fornitura, dall’infezione della rete target, all’esecuzione di codice da remoto, al furto e alla manomissione di dati. E si tratta di un problema endemico: secondo le statistiche di SecurityScorecard, almeno il 29% delle violazioni del 2023 è stato un third-party breach, in cui è stata colpita inizialmente una “terza parte”, diversa dalla vittima finale. Un recente studio di OpenText, invece, ha evidenziato il ruolo della supply chain nelle infezioni ransomware. A detta di Veracode, a livello mondiale gli attacchi alla supply chain del software hanno causato la perdita di 46 miliardi di dollari.

Per una efficace difesa, rilevare i problemi non basta: è anche necessario mitigare la vulnerabilità nel minor tempo possibile, così da ridurre la cosiddetta “finestra di possibilità” per cybercriminali che si muovono sempre più rapidamente. Come sottolineato da Veracode, gli strumenti più efficaci sono quelli capaci di mettere in quarantena e bloccare i pacchetti sospetti in tempo reale.

veracode-phylum-acquisizione.jpg

Integrata in Veracode, la tecnologia di Phylum permetterà alle aziende clienti di prevenire in modo proattivo gli attacchi, identificando e bloccando in tempo reale i pericoli grazie a un package management firewall e a un esteso database di pacchetti dannosi classificati. “Questa acquisizione conferma la missione di Veracode di essere la piattaforma di gestione del rischio applicativo più completa, ampliando in modo significativo la nostra capacità di identificare, mitigare e rimediare ai rischi lungo la catena di fornitura del software”, ha detto Ravi Iyer, chief product officer di Veracode. “Grazie al database impareggiabile e alla ricerca avanzata di Phylum, che ha dimostrato di rilevare il 60% in più di pacchetti dannosi rispetto a qualsiasi altro vendor, i nostri clienti avranno la tranquillità necessaria per poter innovare più rapidamente, sapendo che il loro software è protetto contro minacce in continua evoluzione”.

La tecnologia di Phylum, inclusi il database dei pacchetti dannosi e il package management firewall, sarà integrata nella soluzione di software composition analysis (Sca) di Veracode, la cui disponibilità generale è prevista nel primo semestre del 2025.  

scopri altri contenuti su

ARTICOLI CORRELATI