Le fournisseur de solutions de chaîne d'approvisionnement logicielle sécurisée, Chainguard Inc., a étendu aujourd'hui son produit Chainguard Repository avec des fonctionnalités d'analyse des logiciels malveillants, d'application des politiques et de visibilité qui couvrent désormais les packages Java, les packages Python et les images de conteneurs.
La mise à jour étend les protections qui s'appliquaient auparavant uniquement aux packages JavaScript. Chainguard présente cette décision comme un moyen pour les équipes de sécurité et de plate-forme de définir des garde-fous une fois pour toute une organisation, de sorte que tout artefact extrait par un développeur ou un agent d'intelligence artificielle répond déjà aux normes de sécurité et de conformité de l'entreprise.
L’expansion cible un problème qui, selon l’entreprise, s’est accéléré parallèlement aux outils de codage d’IA. Un développement plus rapide s’est accompagné d’une série constante d’attaques sur la chaîne d’approvisionnement, notamment des compromissions de packages NPM et des vers voleurs d’informations d’identification signalés ces derniers mois. Les équipes empilent généralement des scanners, des gestionnaires d'artefacts et des moteurs de politiques pour gérer le risque, mais Chainguard affirme que ces outils agissent trop tard dans le pipeline ou nécessitent un entretien constant.
Le scanner propriétaire de Chainguard analyse désormais les packages Python, les packages Java et les images de conteneurs en amont pour détecter tout comportement malveillant en plus de JavaScript. Le scanner se situe au niveau du référentiel et supprime la fenêtre d'exposition qui se produit lorsque les vérifications sont exécutées après qu'un artefact a déjà été extrait.
Le scanner signale également les « graywares », un terme que Chainguard utilise pour désigner les packages qui fonctionnent comme annoncé tout en effectuant quelque chose de malveillant, par exemple la collecte d'informations d'identification ou l'envoi d'invites de modèle de langage volumineux à un serveur tiers. Chainguard affirme qu'il bloque chaque semaine plus de 70 projets de graywares qui ne passeraient jamais un examen de sécurité par le responsable de la sécurité de l'information, mais échapperaient aux scanners de logiciels malveillants traditionnels.
Le moteur de politique intégré du référentiel a été étendu aux mêmes types d'artefacts, ce qui signifie que la consommation des conteneurs, des packages Python et des packages Java peut désormais être régie par une politique. Le changement apporte également une solution de repli en amont vers Java et Python, permettant aux équipes d'extraire les packages en amont analysés qui ont passé un refroidissement lorsque Chainguard n'a pas encore construit un package donné à partir des sources.
Chainguard a également déclaré que ses bibliothèques JavaScript avaient atteint une disponibilité générale, complétant ainsi le déploiement de ses trois écosystèmes de bibliothèques aux côtés de Java et Python.
De nouveaux types de politiques accompagnent l’extension, disponibles en version bêta ouverte dès aujourd’hui. Pour les conteneurs, les équipes peuvent bloquer les images qui ont atteint leur fin de vie, limiter les extractions aux images bénéficiant d'un support à long terme et définir des délais de récupération qui retardent l'accès aux nouvelles versions. Pour les bibliothèques, Chainguard a ajouté un blocage personnalisé qui empêche les développeurs d'extraire des projets ou des versions spécifiques, ainsi que des remplacements manuels dans les deux gammes de produits pour les cas où une équipe a besoin d'un artefact qu'une politique bloquerait autrement.
La société a également ajouté un mode aperçu qui montre comment une politique affecterait la consommation open source actuelle avant qu'elle ne soit appliquée, ainsi que des rapports sur les artefacts bloqués, les politiques qui ont déclenché le blocage et quand.
Fondée en 2021, Chainguard a levé 280 millions de dollars en octobre pour une valorisation déclarée de 3,5 milliards de dollars, ce qui porte le total levé à environ 892 millions de dollars.
