Naka-post sa

Maikling editor: Kung ikaw ay isang sysadmin o tagapagpraktis ng cybersecurity, ang isa sa mga pagpapaikli na dapat magpalitaw sa iyong pang-araw-araw na mga alerto ay ang CVE, na kumakatawan sa Mga Karaniwang Kahinaan at Pagkakalantad, na kung saan ay isiwalat sa publiko ang mga kamalian sa cybersecurity. Ang may pahintulot na listahan ay ang Listahan ng CVE®, na nakalista rin sa lahat ng mga partido na maaaring bilang ng mga bagong CVE, na kilala bilang isang CVE Numbering Authority (CNA), na sa ngayon ay may 161 na mga samahan sa buong mundo. Ang Synopsys, ang pandaigdigang nangunguna sa integridad ng software, ay isinama sa pinakabagong Listahan ng CVE® bilang isang CNA. Hindi tulad ng ilang mga CNA na kinikilala ang mga kahinaan at binibigyan sila ng mga CVE ID para sa kanilang sariling mga isyu sa produkto, ang mga Synopsy ay maaaring magbigay ng mga CVE ID para sa kanilang sariling mga produkto, pati na rin ang mga kahinaan sa software ng third-party na natuklasan ng Synopsys SIG (Software Integrity Group) na wala pa sa saklaw ng ibang CNA. Nasa ibaba ang paglabas ng vendor.

Pinahintulutan ang mga Synopsy bilang isang CVE Numbering Authority (CNA)

Ang pagtatalaga ng CNA na inisyu ng Programang CVE ay nagpapabilis sa kakayahan ng Synopsys na mag-publish ng mga kahinaan na bukas na mapagkukunan ng software, na binibigyang diin ang pangako nitong palakasin ang seguridad ng ecosystem ng software.

SINGAPORE, @mcgallen #microwireimpormasyon, Marso 31, 2021 - Synopsys, Inc. (Nasdaq: SNPS) ngayon inihayag ang pagtatalaga ng kumpanya bilang isang Otoridad sa Numero ng CVE (CNA) ng Programang CVE. Bilang isang CNA, ang Synopsys Software Integrity Group ay pinahintulutan ngayon na magtalaga ng mga numero ng pagkakakilanlan ng CVE sa mga bagong natuklasang kahinaan at mag-publish ng impormasyon tungkol sa mga kahinaan sa nauugnay na mga tala ng CVE.

Mula nang umpisahan ang Cybersecurity Research Center (CyRC), Sinopsys ay nagsumikap upang mapabuti ang postura ng seguridad ng bukas na mapagkukunan ng komunidad sa pamamagitan ng mga tool sa pagsubok tulad ng Coverity Scan, sa pamamagitan ng pagbibigay ng napayaman na data ng CVE sa mga customer sa pamamagitan ng Mga Tagapayo sa Black Duck Security, at sa pamamagitan ng responsableng isiwalat ang mga kahinaan natutuklasan nito sa pamamagitan ng Programang CVE at iba pang mga CNA. Bilang isang bagong itinalagang CNA, maaaring i-streamline ng Synopsys ang proseso ng paglalathala ng tumpak at napapanahong impormasyong kahinaan na natuklasan nito sa publiko.

"Nasasabik kaming gawin ang susunod na hakbang sa aming pag-unlad bilang isang mahusay na tagapangasiwa ng mas malawak na ecosystem ng software," sabi ni Jason Schmitt, pangkalahatang tagapamahala ng Synopsys Software Integrity Group. "Bilang isang nangunguna sa seguridad ng aplikasyon, ang pananaliksik sa kahinaan ay bahagi ng aming DNA. Bilang isang CNA, maaari naming mas epektibo at mahusay na maipalaganap ang mga resulta ng aming pagsasaliksik sa aming mga customer at sa pamayanan ng software sa pangkalahatan - para sa kapwa natuklasan na kahinaan at mayroon nang mga tala ng CVE na maaaring hindi tumpak o hindi kumpleto.

Ang Programang CVE® ay isang pang-internasyonal na programa na nakabatay sa pamayanan na ang misyon ay kilalanin, tukuyin, at i-catalog sa publiko ang mga kahinaan sa cybersecurity. Ang mga CVE ID ay itinalaga ng mga CNA, na pinapatakbo nang kusang-loob na batayan ng mga kalahok na samahan. Sumasali ang mga Synopsys sa mga pinahintulutang komersyal na entity tulad ng Linux, Red Hat, Google, at Microsoft bilang isang CNA.

"Ang pagkakakilanlan at pagkakaroon ng tumpak at napapanahong impormasyon sa kahinaan ay mahalaga kapag pinoprotektahan ang kadena ng suplay ng software," sabi ni Christopher Fearon, Direktor ng Research Engineering para sa Synopsys Software Integrity Group. "Habang pinapalawak namin ang aming mga pagsusumikap sa pananaliksik at pag-unlad na kahinaan sa loob ng Synopsys CyRC, ang direktang likas na katangian ng pagsisiwalat ng mga kahinaan bilang isang CNA ay nagdaragdag ng isang nadagdagan na antas ng transparency at bilis sa aming mga kakayahan sa pananaliksik. "

Upang ibunyag ang isang kahinaan sa pamamagitan ng Synopsys o upang malaman ang tungkol sa aming responsableng proseso ng pagsisiwalat, bisitahin ang aming Pananagutan na Patakaran sa Pagbubunyag.

Tungkol sa Synopsys Software Integrity Group 

Tinutulungan ng Synopsys Software Integrity Group ang mga koponan sa pag-unlad na bumuo ng ligtas, de-kalidad na software, pinapaliit ang mga panganib habang pinapalaki ang bilis at pagiging produktibo. Ang Synopsys, isang kinikilalang pinuno sa seguridad ng aplikasyon, ay nagbibigay ng static na pagtatasa, pagtatasa ng komposisyon ng software, at mga solusyon sa pag-aaral ng pag-analisa na nagbibigay-daan sa mga koponan na mabilis na mahanap at ayusin ang mga kahinaan at depekto sa pagmamay-ari na code, mga buksan ng sangkap ng mapagkukunan, at ugali ng aplikasyon. Sa isang kumbinasyon ng mga tool, serbisyo, at kadalubhasaan na nangunguna sa industriya, ang mga Synopsy lamang ang tumutulong sa mga samahan na i-optimize ang seguridad at kalidad sa DevSecOps at sa buong ikot ng buhay sa pag-unlad ng software. Dagdagan ang nalalaman sa www.synopsys.com/software.

Tungkol sa Synopsys

Ang Synopsys, Inc. (Nasdaq: SNPS) ay kasosyo ng Silicon to Software ™ para sa mga makabagong kumpanya na bumubuo ng mga elektronikong produkto at software application na umaasa sa araw-araw. Bilang isang kumpanya ng S&P 500, ang Synopsys ay may mahabang kasaysayan ng pagiging isang pandaigdigang nangunguna sa electronic design automation (EDA) at semiconductor IP at nag-aalok ng pinakamalawak na portfolio ng industriya ng mga tool sa pagsubok ng seguridad ng aplikasyon. Kung ikaw man ay isang taga-disenyo ng system-on-chip (SoC) na lumilikha ng mga advanced na semiconductor, o isang developer ng software na nagsusulat ng mas ligtas, de-kalidad na code, ang Synopsys ay may mga solusyon na kinakailangan upang maihatid ang mga makabagong produkto. Dagdagan ang nalalaman sa www.synopsys.com.

# # #