Publié le

Note de l'éditeur: Si vous êtes un administrateur système ou un praticien de la cybersécurité, l'un des acronymes qui doivent déclencher vos alertes quotidiennes est CVE, qui signifie Common Vulnerabilities and Exposures, qui sont des failles de cybersécurité révélées publiquement. La liste faisant autorité est la Liste CVE®, qui répertorie également toutes les parties qui peuvent numéroter de nouvelles CVE, connue sous le nom d'autorité de numérotation CVE (CNA), qui compte à ce jour 161 organisations dans le monde. Synopsys, le leader mondial de l'intégrité logicielle, a été inclus dans la dernière liste CVE® en tant que CNA. Contrairement à certains CNA qui identifient les vulnérabilités et leur donnent des ID CVE pour leurs propres problèmes de produit, Synopsys peut donner des ID CVE pour leurs propres produits, ainsi que des vulnérabilités dans des logiciels tiers découverts par le Synopsys SIG (Software Integrity Group) qui ne le sont pas déjà. dans le cadre d'une autre CNA. La version du fournisseur est ci-dessous.

Synopsys autorisé en tant qu'autorité de numérotation CVE (CNA)

La désignation CNA délivrée par le programme CVE rationalise la capacité de Synopsys à publier des vulnérabilités logicielles open source, soulignant son engagement à renforcer la sécurité de l'écosystème logiciel.

SINGAPOUR, @mcgallen #microwireinfo, 31 mars 2021 - Synopsys, Inc. (Nasdaq: SNPS) a annoncé aujourd'hui la désignation de l'entreprise en tant que Autorité de numérotation CVE (CNA) par le programme CVE. En tant que CNA, le groupe d'intégrité logicielle Synopsys est désormais autorisé à attribuer des numéros d'identification CVE aux vulnérabilités nouvellement découvertes et à publier des informations sur les vulnérabilités dans les enregistrements CVE associés.

Depuis la création de son Centre de recherche sur la cybersécurité (CyRC), Synopsys s'est efforcé d'améliorer la posture de sécurité de la communauté open source grâce à des outils de test comme Scan de couverture, en fournissant des données CVE enrichies aux clients via Avis de sécurité Black Duck, et par divulguer de manière responsable les vulnérabilités il découvre à travers le programme CVE et d'autres CNA. En tant que CNA nouvellement désignée, Synopsys peut rationaliser le processus de publication des informations de vulnérabilité exactes et opportunes qu'elle révèle au public.

«Nous sommes ravis de franchir cette étape suivante dans notre progression en tant que bon gestionnaire de l'écosystème logiciel plus large», a déclaré Jason Schmitt, directeur général du groupe Synopsys Software Integrity. «En tant que leader de la sécurité des applications, la recherche sur les vulnérabilités fait partie de notre ADN. En tant qu'ANC, nous pouvons diffuser plus efficacement et plus efficacement les résultats de nos recherches à nos clients et à la communauté des logiciels en général - pour les vulnérabilités nouvellement découvertes et les enregistrements CVE existants qui peuvent être inexacts ou incomplets. "

Le programme CVE® est un programme communautaire international dont la mission est d'identifier, de définir et de cataloguer les vulnérabilités de cybersécurité divulguées publiquement. Les identifiants CVE sont attribués par les CNA, qui sont gérés sur une base volontaire par les organisations participantes. Synopsys rejoint des entités commerciales autorisées telles que Linux, Red Hat, Google et Microsoft en tant que CNA.

«L'identification et la disponibilité d'informations de vulnérabilité précises et opportunes sont essentielles pour protéger la chaîne d'approvisionnement des logiciels», a déclaré Christopher Fearon, directeur de l'ingénierie de recherche pour le groupe d'intégrité logicielle de Synopsys. la nature directe de la divulgation des vulnérabilités en tant qu'ANC ajoute un niveau accru de transparence et de rapidité à nos capacités de recherche.

Pour divulguer une vulnérabilité via Synopsys ou pour en savoir plus sur notre processus de divulgation responsable, visitez notre Politique de divulgation responsable.

À propos du groupe d'intégrité logicielle de Synopsys 

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###