セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収

イスラエルのスタティックなアプリケーションセキュリティテスト(application security testing, AST)のプロバイダーであるCheckmarxが、オープンソースのサプライチェーンセキュリティのスタートアップDusticoを、価額非公開で買収した。

2020年に創業されたDusticoは、機械学習を用いた動的なソースコード分析を提供し、ソフトウェアのサプライチェーンの中に悪質な攻撃やバックドアを検出する。

この買収でCheckmarxは、同社の静的なASTにDusticoのビヘイビア分析技術を組み合わせて、顧客にオープンソースパッケージの、リスクと評判の一体化したビューを与える。そしてその結果、ソフトウェアサプライチェーンの攻撃を防ぐためのより総合的なアプローチが得られる。

この買収は、サプライチェーンの攻撃が急増しているさなかに行われ、そこでは攻撃者が悪質なコードを信頼されているソフトウェアやハードウェアに忍び込ませている。昨年12月には、ロシアのハッカーがソフトウェア企業SolarWindsを侵犯して同社のIT管理ツールOrionに悪質なコードを植えたことが明らかとなった。のちにロシアの対外諜報サービスであることが判明したそのハッカーは、そのコードのおかげで、Orionソフトウェアを使っている18000ものネットワークにアクセスできた。

関連記事: 2020 was a record year for Israel’s security startup ecosystem(未訳、有料記事)

Dusticoの技術はSonatypeが提供しているものと似ていて、三段構えのやり方でオープンソースのパッケージを分析する。最初は信頼性に着目して、パッケージのプロバイダーとオープンソースのコミュニティの住人である個々のコントリビューターの間の信頼性を可視化し、次にパッケージの健全性を調べて、そのメンテナンスのレベルを判定する。そして最後は、Dusticoの高度なビヘイビア分析エンジンがパッケージを調べて、そこに隠れている悪質な攻撃やバックドア、ランサムウェア、多段階攻撃、そしてトロイの木馬などを見つける。

両社によると、この洞察結果にCheckmarxのASTソリューションが組み合わさり、企業や開発者に、オープンソースとそれに依存しているサプライチェーンに結びついているリスクを管理するための、より大きな洞察力を与える。

CheckmarxのCEO、Emmanuel Benzaquen氏はこう言っている: 「DusticoとそのチームをCheckmarxにお迎えすることにより、イスラエルのテクノロジーのエコシステムはサイバーセキュリティのイノベーションと才能をさらに拡大できる。オープンソースの分析に対するDusticoの他と差別化されたアプローチと、Checkmarxのセキュリティテスト能力がブレンドして、顧客に現状打破的な価値をもたらし、ソフトウェアのサプライチェーンが抱えるセキュリティの課題を管理できるようになる」。

Dusticoを買収する前の2020年3月には、Checkmarxはプライベート・エクイティ企業Hellman & Friedmanに11億5000万ドルの評価額で買収された。さらにさかのぼって2015年には、同社は8400万ドルの投資でInsight Partnersに身売りした。

関連記事: Insight Partners sells security firm Checkmarx to Hellman & Friedman for $1.15B(未訳)

(文:Carly Page、翻訳:Hiroshi Iwatani)
画像クレジット: Dmitry Bairachnyi/Getty Images

[原文へ]