TMACUL

CA Technologies acquires SourceClear for its DevSecOps portfolio

Blog Post created by TMACUL Champion on Apr 15, 2018
Published: April 12th, 2018
 - Ian C. Schafer

CA Technologies announced its acquisition of software composition analysis specialists SourceClear early this week with aims to incorporate SourceClear’s SaaS-based SCA tool and proprietary vulnerability database with their Veracode cloud platform.

“We are excited about what this acquisition means for our customers in terms of increased support for SCA in DevSecOps environments and the ability to confidently use open source components without introducing unnecessary risk,” Sam King, general manager of CA Veracode wrote in a blog post

According Sam King, open-source libraries are becoming extremely important because of its ability to save time, reduces inefficiency, and increase developer productivity, but these libraries come with risks. King revealed that 88 percent of Java applications recently analyzed by CA had at least one component-based vulnerability. “With the acquisition of SourceClear, we’re taking a great step forward in bringing that same combination of security, productivity and efficiency to the way developers use and test open source libraries, so that our customers can use open source libraries to accelerate software development without adding unmanaged risk,” King wrote in a blog post.

King says the SourceClear’s SCA solution can not only inform the user about vulnerable components, but also whether that component is being utilized in the application, reducing false positives related to unused components in an open-source library which may be insecure, but inconsequential to a project.

According to projections by SourceClear, there will be nearly a half-billion open-source libraries available to developers within a decade, and the company has aimed to future-proof their utility.

“In addition to tracking public sources like CVEs, SourceClear constantly data-mines millions of commits in open-source libraries, watches thousands of bug-trackers and parses the change-logs of popular libraries,” King wrote. “As a result, customers can even find vulnerabilities that have not been reported to NVD. Each issue includes prescriptive fix information, much of which can be automated to increase speed.”

---------------------------------------------------------------------------------------------------------------------------------------

PORTUGUÊS

---------------------------------------------------------------------------------------------------------------------------------------

A CA Technologies anunciou no início desta semana a aquisição da SourceClear, especialista em análise de composição de software, com o objetivo de incorporar a ferramenta SCA baseada em SaaS do SourceClear e o banco de dados de vulnerabilidade proprietário com a plataforma de nuvem Veracode.

"Estamos entusiasmados com o significado dessa aquisição para nossos clientes em termos de maior suporte a SCA em ambientes DevSecOps e a capacidade de usar componentes de código aberto com segurança sem introduzir riscos desnecessários", escreveu Sam King, gerente geral do CA Veracode em um post

Segundo Sam King, as bibliotecas de código aberto estão se tornando extremamente importantes devido à sua capacidade de economizar tempo, reduzir a ineficiência e aumentar a produtividade do desenvolvedor, mas essas bibliotecas apresentam riscos. King revelou que 88% dos aplicativos Java analisados recentemente pela CA tinham pelo menos uma vulnerabilidade baseada em componentes. “Com a aquisição da SourceClear, estamos dando um grande passo em trazer essa mesma combinação de segurança, produtividade e eficiência para a forma como os desenvolvedores usam e testam bibliotecas de código aberto, para que nossos clientes possam usar bibliotecas de código aberto para acelerar o desenvolvimento de software. sem adicionar risco não gerenciado ”, escreveu King em um post no blog.

Leia a edição de abril do SD Times
King diz que a solução SCA do SourceClear pode não apenas informar ao usuário sobre componentes vulneráveis, mas também se esse componente está sendo utilizado no aplicativo, reduzindo falsos positivos relacionados a componentes não utilizados em uma biblioteca de código aberto que pode ser insegura, mas sem conseqüência projeto.

De acordo com as projeções do SourceClear, haverá cerca de meio bilhão de bibliotecas de código aberto disponíveis para desenvolvedores dentro de uma década, e a empresa tem como objetivo tornar sua utilidade à prova do futuro.

“Além de rastrear fontes públicas como CVEs, o SourceClear constantemente elimina milhões de commits em bibliotecas de código aberto, observa milhares de rastreadores de bugs e analisa os logs de mudanças de bibliotecas populares”, escreveu King. “Como resultado, os clientes podem até encontrar vulnerabilidades que não foram reportadas ao NVD. Cada edição inclui informações de correção prescritivas, muitas das quais podem ser automatizadas para aumentar a velocidade. ”

 

---------------------------------------------------------------------------------------------------------------------------------------

ESPAÑOl

---------------------------------------------------------------------------------------------------------------------------------------

CA Technologies anunció la adquisición de los especialistas en análisis de composición de software SourceClear a principios de esta semana con el objetivo de incorporar la herramienta SCA basada en SaaS de SourceClear y la base de datos de vulnerabilidad patentada con su plataforma en la nube Veracode.

"Estamos entusiasmados con lo que significa esta adquisición para nuestros clientes en términos de mayor soporte para SCA en entornos DevSecOps y la capacidad de usar con seguridad componentes de código abierto sin introducir riesgos innecesarios", escribió Sam King, gerente general de CA Veracode en una publicación de blog

Según Sam King, las bibliotecas de código abierto se están volviendo extremadamente importantes debido a su capacidad de ahorrar tiempo, reducir la ineficiencia y aumentar la productividad del desarrollador, pero estas bibliotecas conllevan riesgos. King reveló que el 88 por ciento de las aplicaciones Java analizadas recientemente por CA tenían al menos una vulnerabilidad basada en componentes. "Con la adquisición de SourceClear, estamos dando un gran paso al traer la misma combinación de seguridad, productividad y eficiencia a la forma en que los desarrolladores usan y prueban bibliotecas de código abierto, para que nuestros clientes puedan usar bibliotecas de código abierto para acelerar el desarrollo de software sin agregar riesgos no administrados ", escribió King en una publicación de blog.

Lea el número de abril de SD Times
King dice que la solución SCA de SourceClear no solo puede informar al usuario sobre componentes vulnerables, sino también si ese componente se está utilizando en la aplicación, reduciendo los falsos positivos relacionados con los componentes no utilizados en una biblioteca de código abierto que puede ser inseguro, pero irrelevante para una proyecto.

Según las proyecciones de SourceClear, habrá casi medio billón de bibliotecas de código abierto disponibles para los desarrolladores dentro de una década, y la compañía ha apuntado a su utilidad a prueba del futuro.

"Además de rastrear fuentes públicas como CVE, SourceClear constantemente realiza un seguimiento de millones de confirmaciones en bibliotecas de código abierto, observa miles de buscadores de errores y analiza los registros de cambios de bibliotecas populares", escribió King. "Como resultado, los clientes pueden incluso encontrar vulnerabilidades que no han sido reportadas a NVD. Cada problema incluye información de arreglos prescriptivos, muchos de los cuales pueden automatizarse para aumentar la velocidad ".

--------------------------------------------------------------------------------------------------------------------------------------

Outcomes