شرکت فناوری اطلاعات مهیمن از «توسکا» رونمایی کرد

به گزارش پیوست؛ در بیست‌وهشتمین نمایشگاه الکامپ، شرکت مهیمن از محصول «توسکا» رونمایی کرد. سمیه دولت‌نژاد، مدیر فنی واحد فناوری امنیت، توسکا را نخستین محصول داخلی در حوزه توسعه کد امن معرفی کرد که با تحلیل امنیتی کد منبع، مشکلات و آسیب‌پذیری‌های امنیتی را در مراحل اولیه توسعه شناسایی کرده و امکان رفع سریع آن‌ها را فراهم می‌کند.
او با اشاره به آمارهای سال ۲۰۲۴ گفت: بیش از ۴۰ هزار CVE جدید ثبت شده است که نشان‌دهنده افزایش چشمگیر آسیب‌پذیری‌هاست. همچنین طبق گزارش Gitguardian بیش از ۲۳ میلیون مورد اطلاعات محرمانه در کدها شناسایی شده که حدود ۷۰ درصد آنها از سال ۲۰۲۲ همچنان معتبر هستند.
دولت‌نژاد تغییر تاکتیک مهاجمان را نیز مورد تأکید قرار داد و گفت: اخیراً هکرها به جای حمله مستقیم، سراغ آلوده‌سازی پکیج‌ها رفته‌اند تا از این طریق به سامانه‌های هدف دسترسی پیدا کنند. به گفته او، شرکت Sonatype حدود ۷۴۰ هزار پکیج آلوده را رصد کرده و بین سال‌های ۲۰۲۳ و ۲۰۲۴ بیش از ۵۱۲ هزار پکیج جدید آلوده به بدافزار شناسایی شده است.

عباس عسکری ساری، مدیرعامل مهیمن، در ادامه این مراسم به اهمیت امنیت در مراحل ابتدایی توسعه نرم‌افزار اشاره کرد و گفت: مشکل اصلی در گذشته این بود که شناسایی و رفع آسیب‌پذیری‌ها در مراحل پایانی انجام می‌شد که هزینه‌های سنگینی برای کارفرما ایجاد می‌کرد. بر همین اساس فلسفه‌ای به نام شیفت لفت سکیوریتی شکل گرفت؛ یعنی امنیت باید از همان ابتدا در توسعه دخیل شود، نه بعد از آماده‌سازی محصول.

عسکری ادامه داد: «محصول جدید مهیمن به عنوان بخشی از فرآیند دوسکاپس، کنترل‌های امنیتی را از ابتدای چرخه توسعه و در پایپ‌لاین DevOps اعمال می‌کند. اگر کتابخانه‌ای آسیب‌پذیر یا آلوده استفاده شود، هشدار داده می‌شود. همچنین درصورت شناسایی رمزورود، توکن یا کلید در کد که به آن سیکرت گفته می‌شود، به برنامه نویس هشدار داده می‌شود، تحلیل ایستا یا استاتیک آنالیز نیز، خطاها را در همان لحظه شناسایی و محل دقیق آنها را مشخص می‌کند.

مدیرعامل مهیمن تاکید کرد: این محصول تا زمان رفع کامل مشکل، اجازه ادامه فرآیند را نمی‌دهد و تنها پس از اصلاح کد، تایید امنیتی صادر می‌شود. این رویکرد باعث می‌شود محصول نهایی از نظر امنیتی آماده ورود به محیط کارفرما باشد.

عسکری درباره روش ارائه محصول گفت: محصول ما هم به‌صورت نرم‌افزار و هم به‌صورت سرویس ارائه می‌شود. آن را روی سرویس ابری شرکت قرار دادیم تا سازمان‌هایی که توان خرید لایسنس را ندارند، با هزینه کمتر از آن استفاده کنند. همچنین امکان ارائه به‌صورت آن‌پرمیس برای نصب در محل کارفرما وجود دارد.

او افزود: «نمونه‌های خارجی مشابه در بازار وجود دارد، اما در مقایسه با آنها، محصول مهیمن دقت بالاتری دارد و خطاهای مثبت کاذب را کاهش می‌دهد. همچنین یکی از قابلیت‌های متمایز ما، تشخیص پکیج‌های آلوده است؛ قابلیتی که هیچ یک از رقبای خارجی در ایران ارائه نمی‌دهند.»

عسکری با اشاره به روند صعودی تهدیدات افزود: «از نوامبر ۲۰۲۳ تا پایان ۲۰۲۴ بیش از ۵۰۰ هزار پکیج آلوده جدید شناسایی شده است. سرویس ما این پکیج‌ها را اسکن و به کاربر هشدار می‌دهد تا سریعا حذف شوند و از بروز حملات هدفمند سایبری جلوگیری شود.