Sighthound — Corgea's rule-based SAST scanner
Corgeas SAST-Scanner "Sighthound" wurde veröffentlicht. Er ist in Rust geschrieben und unterstützt C#, Go, Java und JavaScript. Nutzer sollten den Scanner zur Verbesserung ihrer Anwendungssicherheit prüfen.
Corgea hat einen neuen regelbasierten SAST-Scanner namens "Sighthound" veröffentlicht. Dieser Scanner ist in Rust geschrieben und unterstützt die Sprachen C#, Go, Java und JavaScript. Er soll Entwicklern helfen, Schwachstellen frühzeitig im Entwicklungszyklus zu identifizieren und die Anwendungssicherheit zu verbessern.
Organisationen, die Software in C#, Go, Java oder JavaScript entwickeln.
Die frühzeitige Erkennung von Schwachstellen im Entwicklungsprozess (Shift-Left-Security) reduziert die Kosten für die Behebung und das Risiko von Sicherheitsvorfällen in der Produktion.
Nicht spezifiziert im Artikel.
Prüfen Sie die Integration von Corgeas Sighthound SAST-Scanner in Ihre CI/CD-Pipelines, insbesondere wenn Sie Anwendungen in den unterstützten Sprachen entwickeln.
- ▸Defensive Überprüfung 1: Überprüfen Sie, ob Ihre aktuellen SAST-Lösungen die genannten Sprachen (C#, Go, Java, JavaScript) abdecken und ob die Erkennungsraten zufriedenstellend sind.
- ▸Defensive Überprüfung 2: Evaluieren Sie die Integrationsmöglichkeiten von Sighthound in Ihre bestehenden Entwicklungsworkflows und CI/CD-Pipelines.
- ▸Defensive Überprüfung 3: Führen Sie einen Proof-of-Concept mit Sighthound an einem Ihrer Projekte durch, um die Effektivität und Benutzerfreundlichkeit zu bewerten.
- Spezifische Arten von Schwachstellen, die Sighthound erkennen kann, sind nicht spezifiziert.
- Die Leistung und Skalierbarkeit des Scanners sind nicht spezifiziert.
- Die Lizenzierungs- und Kostenmodelle von Sighthound sind nicht spezifiziert.
- Die Integrationsmöglichkeiten mit anderen Sicherheitstools oder Entwicklungsumgebungen sind nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Execution detektieren?