Insignary novērš SBOM precizitātes starpību ar binārā līmeņa skaidrību, lai regulētu risku

Toronto, Kanāda, 2026. gada 6. jūlijs, CyberNewswire

Lielākā daļa programmatūras sastāva analīzes rīku lasa izstrādātāju deklarētos datus. Insignary Clarity patentētā binārā pirmā platforma analizē to, kas faktiski ir uzbūvēts, piegādāts un izvietots, tostarp atvērtā pirmkoda komponenti, kas nekad nav redzami nevienā manifestā.

Insignary, Inc., kuras patentētā binārā pirkstu nospiedumu tehnoloģija ir minēta četros Gartner pētījumu ziņojumos, šodien paziņoja par savu atzīšanu par sasniedzamības analīzes paraugu piegādātāju Gartner Hype ciklā drošai programmatūras inženierijai, 2026.

Saskaņā ar Gartner teikto: “Atvērtā pirmkoda un trešās puses komponentos var būt garš ievainojamību saraksts, taču ne visas no tām tieši ietekmē jūsu koda bāzi. Sasniedzamības analīze palīdz pārbaudīt ievainojamības, pamatojoties uz to izmantojamību.”*1

Steidzamība ir skaidra neatkarīgi no nozares pētījumiem. 2024. gadā veiktajā Venafi aptaujā, kurā piedalījās 800 drošības lēmumu pieņēmēji visā ASV, Apvienotajā Karalistē, Vācijā un Francijā, atklājās, ka 92% ir nobažījušies par mākslīgā intelekta radīto kodu, un 63% ir apsvēruši iespēju to tieši aizliegt drošības riska dēļ.*2 ASV Nacionālā neaizsargātības datu bāze 2025. gadā reģistrēja vairāk nekā 48 000 CVE — aptuveni 130 katru dienu.

AI kodēšanas palīgi paātrina nepārvaldītu atvērtā pirmkoda atkarību pieaugumu. Organizācijām plašā mērogā pieņemot šos rīkus, tās saskaras ar arvien lielāku izaicinājumu: saprast, kuri atvērtā pirmkoda komponenti nonāk ražošanas programmatūrā, vai šiem komponentiem var uzticēties un kā tiek pārvaldīti no tā izrietošie drošības un atbilstības riski.

Problēma ir strukturāla. Lielākā daļa SCA rīku lasa to, ko izstrādātāji deklarē, nevis to, kas faktiski darbojas. AI ģenerēts kods, piegādātāju bibliotēkas un trešo pušu binārie faili bieži apiet pakotņu pārvaldniekus un nekad netiek rādīti manifestā.

“SBOM arvien vairāk kļūst par normatīvu prasību visā pasaulē. Tomēr programmatūras caurskatāmība ir tikai tik uzticama kā paša SBOM precizitāte. Jūs nevarat pārbaudīt SBOM, izlasot manifestu, kas to izveidoja. Jūs verificējat SBOM, pārbaudot programmatūru, kas faktiski tika izveidota, nosūtīta un izvietota. Tā kā programmatūras piegādes ķēdes noteikumi kļūst arvien atkarīgāki no SBOM validācijas līmeņa programmatūras. būtiska organizācijām, kas darbojas regulētās nozarēs, kritiskā infrastruktūrā un ar AI iespējotās programmatūras vidēs. — Taek Wan Kim, prezidents un izpilddirektors, Insignary

NOZĪMĪGA SKAIDRĪBA: BINĀRĀ-PIRMĀ. AI AWARE.

Insignary Clarity skenē gan avotu, gan bināro sistēmu, lai izveidotu pilnīgu programmatūras materiālu sarakstu (SBOM) lietojumprogrammu komandu veidotajām lietojumprogrammām, tajās iekļautajiem trešo pušu komponentiem un IT infrastruktūrai, kas apiet tradicionālo drošās izstrādes dzīves ciklu.

Galvenās iespējas ietver:

  • Binārais SCA — identificē atvērtā koda komponentus, ievainojamības un licences saistības tieši no kompilētajiem binārajiem failiem, neprasot pirmkodu vai pakotnes manifestus.
  • AIBOM Generation — izstrādā AI materiālu sarakstu programmatūrai, kurā ir AI ģenerēts vai mākslīgā intelekta atbalstīts kods, kas aptver komponentus, kas apiet tradicionālās atkarības deklarācijas.
  • Sasniedzamības analīze — nosaka, kuras atklātās ievainojamības faktiski sasniedz izpildāmā koda ceļus, nodrošinot uz risku balstītu prioritāšu noteikšanu, nevis neapstrādātu CVE skaita šķirošanu.
  • Nepārtraukta ievainojamības brīdināšana — pārrauga saglabātos SBOM pret atjauninātajām ievainojamību datu bāzēm un nodrošina automatizētus brīdinājumus, kad tikko atklātie CVE atbilst izvietotajiem komponentiem, neprasot atkārtotu skenēšanu.

“SBOM ir pamats, lai pārvaldītu mūsdienu programmatūras izvietošanas sarežģītību un drošību.”*3

ATZĪSTĪBA ČETROS GARTNERA PĀRSKATOS

Insignary ir citēts četros Gartner pētījumu ziņojumos*, Gartner Hype Cycle for Secure Software Engineering, 2026, Gartner Hype Cycle for Application Security, 2025, Gartner Scale Application Security with AI-Augmented Vulnerability Remediation, 2025 un Gartner 3 Steps for Open-Source 202 Projection5.

ATBALSTA GLOBĀLĀS PROGRAMMATŪRAS PIEGĀDES ĶĒDES PRASĪBAS

Insignary Clarity atbalsta organizācijas, kas atbilst programmatūras piegādes ķēdes drošības prasībām visā Ziemeļamerikā un visā pasaulē:

  • ASV izpildrīkojums 14028 un OMB memorands M-26-05 — federālās aģentūras tagad var neatkarīgi pārbaudīt pārdevēja SBOM, nevis pieņemt standarta apliecinājuma veidlapu, tādējādi paaugstinot latiņu visai programmatūrai, kas tiek pārdota ASV valdībai.
  • FDA 524B sadaļa — katrā pievienotās medicīniskās ierīces priekšpārdošanas iesniegumā ir jāiekļauj bināri verificēts SBOM, kas aptver visus apkopotos programmatūras komponentus.
  • Kanādas likumprojekts C-8 Critical Cyber ​​Systems Protection Act (CCSPA), kas stājas spēkā 2026. gada jūnijā — obligāta piegādes ķēdes riska pārvaldība banku, telekomunikāciju, enerģētikas un transporta operatoriem

Papildu sistēmas: CISA un NSA SBOM norādījumi, NIST SSDF, Austrālijas informācijas drošības rokasgrāmata (ISM), ASV savienotā transportlīdzekļa noteikums, ES kibernoturības akts.

VADĪBAS UN GLOBĀLI UZŅĒMUMI UZCICAS

Visā pasaulē BearingPoint — viena no vadošajām vadības un tehnoloģiju konsultāciju firmām Eiropā un Insignary stratēģiskais investors — kalpo kā uzņēmuma ekskluzīvais izplatītājs visā Eiropā. Cybertrust Japan, vēl viens stratēģiskais investors, un tā tālākpārdošanas partneris TechMatrix veicina ieviešanu Japānas ražošanā saskaņā ar kopīgu SBOM iniciatīvu. Klientu vidū ir valdības organizācijas un pasaules līderi elektronikas, aizsardzības, finanšu pakalpojumu, autobūves, ražošanas, medicīnas un citās tehnoloģiju nozarēs.

GARTNER un Hype Cycle ir Gartner, Inc. un/vai tā saistīto uzņēmumu preču zīmes. Gartner neatbalsta nevienu pārdevēju, produktu vai pakalpojumu, kas attēlots tās pētniecības publikācijās, un neiesaka tehnoloģiju lietotājiem atlasīt tikai tos pārdevējus, kuriem ir visaugstākie vērtējumi vai citi apzīmējumi. Gartner pētījumu publikācijas sastāv no Gartner pētniecības organizācijas viedokļiem, un tās nedrīkst uzskatīt par faktu apgalvojumiem. Gartner atsakās no jebkādām izteiktām vai netiešām garantijām saistībā ar šo pētījumu, tostarp jebkādām garantijām par piemērotību tirdzniecībai vai piemērotību noteiktam mērķim.

PAR ZĪMĪBU

Insignary Inc. ir Toronto bāzēts kiberdrošības uzņēmums, kas specializējas binārā sastāva analīzē un programmatūras piegādes ķēdes drošībā. Tās patentētā tehnoloģija ļauj organizācijām identificēt atvērtā pirmkoda programmatūras komponentus, ievainojamības un programmatūras izcelsmi tieši no kompilētajiem binārajiem failiem, nepieprasot piekļuvi pirmkodam.

Uzņēmuma vadošā platforma Insignary Clarity nodrošina binārās analīzes un programmatūras sastāva analīzes iespējas, kas ļauj organizācijām pārbaudīt izvietotās programmatūras saturu un stiprināt programmatūras piegādes ķēdes pārvaldību. Insignary Clarity AIR paplašina šo iespēju AI domēnā, palīdzot organizācijām identificēt, novērtēt un pārvaldīt riskus, kas saistīti ar AI modeļiem, AI ģenerētu programmatūru un AI vadītām izstrādes vidēm.

Uzņēmums apkalpo uzņēmumus, valdības un programmatūras pārdevējus visā pasaulē, un to atbalsta stratēģiskie investori un partneri, tostarp BearingPoint Eiropā, Cybertrust Japan un TechMatrix Japānā, kā arī TMA Solutions. Izmantojot savu globālo partneru ekosistēmu, Insignary atbalsta programmatūras piegādes ķēdes drošības iniciatīvas visā Ziemeļamerikā, Eiropā un Āzijā.

Tīmekļa vietne: https://insignary.com/

Pilns ziņojums: Gartner Hype cikls drošai programmatūras inženierijai, 2026

Atsauces:

  1. Gartner, Hype Cycle for Secure Software Engineering 2026
  2. Venafi, “Machine Identity Management Development Survey”, 2024. gads
  3. Gartner, “Jaunās tehnoloģijas: programmatūras materiālu saraksts ir ļoti svarīgs programmatūras piegādes ķēdes pārvaldībai”.
Sazināties

Galvenais risinājumu arhitekts
Džesika Dī Lī
Insignārs
[email protected]