Đăng trên

Tóm tắt của người biên tập: Nếu bạn là người hành nghề sysadmin hoặc an ninh mạng, một trong những từ viết tắt phải kích hoạt cảnh báo hàng ngày của bạn là CVE, viết tắt của Common Vulnerabilities and Exposures, là những sai sót về an ninh mạng được tiết lộ công khai. Danh sách ủy quyền là Danh sách CVE®, cũng liệt kê tất cả các bên có thể đánh số CVE mới, được gọi là Cơ quan đánh số CVE (CNA), cho đến nay có 161 tổ chức trên toàn thế giới. Synopsys, công ty hàng đầu toàn cầu về tính toàn vẹn của phần mềm, đã được đưa vào Danh sách CVE® mới nhất như một CNA. Không giống như một số CNA xác định các lỗ hổng và cung cấp cho họ ID CVE cho các vấn đề sản phẩm của riêng họ, Synopsys có thể cung cấp ID CVE cho các sản phẩm của riêng họ, cũng như các lỗ hổng trong phần mềm của bên thứ ba được phát hiện bởi Synopsys SIG (Nhóm toàn vẹn phần mềm) chưa trong phạm vi của CNA khác. Dưới đây là bản phát hành của nhà cung cấp.

Synopsys Được ủy quyền với tư cách là Cơ quan đánh số CVE (CNA)

Chỉ định CNA do Chương trình CVE ban hành giúp hợp lý hóa khả năng công bố các lỗ hổng phần mềm nguồn mở của Synopsys, nhấn mạnh cam kết tăng cường bảo mật của hệ sinh thái phần mềm.

SINGAPORE, @mcgallen #microwirethông tin, ngày 31 tháng 2021 năm XNUMX - XNUMX - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã thông báo về việc công ty được chỉ định là Cơ quan đánh số CVE (CNA) của Chương trình CVE. Với tư cách là CNA, Synopsys Software Integrity Group hiện được ủy quyền chỉ định số nhận dạng CVE cho các lỗ hổng mới được phát hiện và xuất bản thông tin về các lỗ hổng trong các bản ghi CVE liên quan.

Kể từ khi thành lập Trung tâm nghiên cứu an ninh mạng (CyRC), Synopsys đã cố gắng cải thiện tình hình bảo mật của cộng đồng nguồn mở thông qua các công cụ kiểm tra như Coverity Scan, bằng cách cung cấp dữ liệu CVE phong phú cho khách hàng thông qua Cố vấn An ninh Vịt đen, và bởi tiết lộ các lỗ hổng một cách có trách nhiệm nó phát hiện ra thông qua Chương trình CVE và các CNA khác. Là một CNA mới được chỉ định, Synopsys có thể hợp lý hóa quá trình xuất bản thông tin lỗ hổng chính xác và kịp thời mà nó phát hiện ra cho công chúng.

Jason Schmitt, tổng giám đốc của Synopsys Software Integrity Group, cho biết: “Chúng tôi rất vui được thực hiện bước tiếp theo này trong quá trình phát triển của mình với tư cách là người quản lý tốt của hệ sinh thái phần mềm rộng lớn hơn. “Là công ty đi đầu trong lĩnh vực bảo mật ứng dụng, nghiên cứu lỗ hổng bảo mật là một phần trong DNA của chúng tôi. Với tư cách là CNA, chúng tôi có thể phổ biến hiệu quả và hiệu quả hơn các kết quả nghiên cứu của mình cho khách hàng và cộng đồng phần mềm nói chung - đối với cả các lỗ hổng mới được phát hiện và các bản ghi CVE hiện có có thể không chính xác hoặc không đầy đủ ”.

Chương trình CVE® là một chương trình quốc tế, dựa vào cộng đồng, có nhiệm vụ xác định, xác định và lập danh mục các lỗ hổng bảo mật mạng được tiết lộ công khai. ID CVE được chỉ định bởi CNA, được hoạt động trên cơ sở tự nguyện bởi các tổ chức tham gia. Synopsys tham gia các tổ chức thương mại được ủy quyền như Linux, Red Hat, Google và Microsoft với tư cách là CNA.

Christopher Fearon, Giám đốc Kỹ thuật Nghiên cứu của Synopsys Software Integrity Group cho biết: “Việc xác định và cung cấp thông tin về lỗ hổng chính xác và kịp thời là điều cần thiết khi bảo vệ chuỗi cung ứng phần mềm,” Christopher Fearon, Giám đốc Kỹ thuật Nghiên cứu của Synopsys Software Integrity Group. Bản chất trực tiếp của việc tiết lộ các lỗ hổng bảo mật như một CNA làm tăng thêm mức độ minh bạch và tốc độ cho khả năng nghiên cứu của chúng tôi ”.

Để tiết lộ một lỗ hổng bảo mật thông qua Synopsys hoặc để tìm hiểu về quy trình tiết lộ có trách nhiệm của chúng tôi, hãy truy cập Chính sách tiết lộ có trách nhiệm.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys 

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là một công ty thuộc S&P 500, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu về tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cung cấp danh mục dịch vụ và công cụ kiểm tra bảo mật ứng dụng rộng nhất trong ngành. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết mã chất lượng cao, an toàn hơn, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo. Tìm hiểu thêm tại www.synopsys.com.

# # #