Crash Override 转向 ERM 以应对可见性挑战

来源：Agencja Fotograficzna Caro via Alamy Stock Photo

可见性对企业而言仍然是一个重大且日益严峻的挑战。如果没有对潜在问题的可见性，安全团队在监控、检测或及时响应威胁方面的能力将受到限制。随着攻击面的扩大，问题变得更加严重。

组织拥有大量的代码，但跟踪变更和生命周期（对于精确定位和修复代码问题至关重要）却很困难。远程工作者的涌入、遗留系统的持续存在以及资源的缺乏加剧了可见性问题。软件安全初创公司 Crash Override 旨在通过其工程关系管理（ERM）平台应对当前和新兴的可见性挑战。

该公司成立于 2022 年，本月早些时候获得了 2800 万美元的种子轮融资。

ERM 如何提升可见性？

Crash Override 致力于解决企业技术资产目录化以及所有内容如何连接的问题。在与不同行业领域各组织的首席信息安全官（CISO）和工程负责人交谈时，创始人 Mark Curphey 和 John Viega 发现，随着向 DevOps 和云端的转变，可见性逐渐丧失。Curphey 解释说，工程师不知道他们的代码在生产环境中的去向，安全团队不知道代码的所有者是谁，突然间，所有人都变得盲目。

Curphey 和 Viega 认为，ERM 可以通过创建 Curphey 所说的“单一事实来源”（涵盖代码、基础设施和工具）来帮助提高可见性。这意味着企业能够知道代码的位置以及谁拥有它。借助这些信息，他们可以采取更主动的方法来减少代码中的漏洞和盲点。

“ERM 让你能够解决所有这些问题，”Curphey 说。“从根本上说，这与客户关系管理是相同的问题——对活动的可见性，然后弄清楚预测是什么。”

自动化是提高可见性努力的关键部分。

从头到尾跟踪代码

Curphey 还发现，CISO 和工程总监们提到的几乎所有问题实际上是同一问题的两个方面。

“在很大程度上，我们认为自己更像是一个开发工具，而不是安全工具，因为安全正在成为工程的一个功能，”他说。

该平台通过跟踪变更、每个参与代码任何部分的人员以及应用程序的整个生命周期来工作。他说，所有信息都被汇集并关联起来，以帮助解决用例，无论是影子工程、代码所有权、迁移到容器还是淘汰遗留技术。

从安全角度来看，影子工程是一个令人担忧的问题。团队需要跟踪环境中使用的工具，以便应用正确的安全控制措施。但当任何人都可以成为开发者时，跟踪变得困难。另一个用例是事件响应调查。

“它让安全团队能够完成他们的工作，”Curphey 说。“有一家非常大的公司发生了停机事件，他们花了两天时间才弄清楚谁拥有代码，该找谁谈话，以及如何修复它。”

“巨大的 GenAI 问题”

Curphey 警告说，生成式人工智能（GenAI）代码将带来新的、可能更令人担忧的可见性挑战。虽然 GenAI 代码带来的问题本质上与现有问题相同，但这些问题的规模会更大。该技术允许开发者用 AI 生成代码，并在不考虑安全性的情况下将其推送到整个环境中。问题随之而来：团队如何知道哪些 GenAI 代码被推送到生产环境，以及是谁做的？

“如果有一个由营销人员驱动的 AI 代理将代码推送到生产环境，而他们对安全性或如何使其具备生产就绪性一无所知，那么你就会遇到巨大的问题，”Curphey 说。“我们认为 GenAI 问题非常严重，它将影响许多公司。”

相关阅读：
3 个中国国家级行为者针对 SharePoint 漏洞

关于作者

Arielle Waldman
特写作家，Dark Reading
Arielle Waldman 是 Dark Reading 驻波士顿的特写作家，负责报道所有网络安全相关的内容。

工程关系管理平台ERM：解决企业代码与基础设施可见性挑战

安全初创公司Crash Override推出工程关系管理平台ERM，帮助企业追踪代码、基础设施和工具的连接关系，解决因远程工作、遗留系统和缺乏资源导致的可见性难题，提升安全团队监控和响应威胁的能力。