Corgea

Corgea ist eine umfassende, KI-gesteuerte Anwendungssicherheits-Plattform, die entwickelt wurde, um den Prozess der Code-Sicherung vom Commit bis zur Bereitstellung zu optimieren und zu automatisieren. Sie interpretiert traditionelle Sicherheitstools neu, indem sie Static Application Security Testing (SAST), Software Composition Analysis (SCA), Secret-Scanning, Malware-Scanning und PII/PHI-Scanning in einer einzigen, einheitlichen Lösung integriert. Dieser ganzheitliche Ansatz macht mehrere Plugins überflüssig und bietet eine vollständige Abdeckung für über 30 Programmiersprachen und Betriebssystem-Ökosysteme.

Der Kern der Innovation von Corgea liegt in der Verwendung fortschrittlicher Large Language Models (LLMs), um Schwachstellen nicht nur zu erkennen, sondern auch intelligent zu triagieren. Dieses KI-gestützte Triage-System kann den Lärm von Sicherheitswarnungen durchbrechen und Fehlalarme um bis zu 90 % reduzieren. Es bewertet den Schweregrad von Funden basierend auf ihrer tatsächlichen Ausnutzbarkeit und potenziellen geschäftlichen Auswirkungen neu, sodass sich Sicherheits- und Entwicklungsteams auf eine priorisierte Warteschlange echter Bedrohungen konzentrieren können, anstatt auf einen überwältigenden Berg von Tickets.

Wie man Corgea verwendet

Die Integration von Corgea in Ihren Entwicklungslebenszyklus ist als nahtloser und entwicklerfreundlicher Prozess konzipiert:

1. Verbinden Sie Ihr Repository: Beginnen Sie, indem Sie Ihre Code-Repositories von Plattformen wie GitHub oder Azure DevOps verbinden (Unterstützung für GitLab und Bitbucket folgt in Kürze). Der Einrichtungsprozess ist schnell und dauert oft weniger als 10 Minuten.
2. Starten Sie einen Scan: Corgea scannt automatisch jeden Commit und Pull-Request. Ein einziger Scan deckt alle Schichten Ihrer Anwendung ab, von Drittanbieter-Abhängigkeiten (SCA) und Logikfehlern (SAST) bis hin zu offengelegten Anmeldeinformationen und bösartigem Code.
3. Überprüfen Sie KI-triagierte Funde: Anstelle einer rohen Liste potenzieller Probleme erhalten Sie eine kuratierte Liste von Schwachstellen mit hoher Konfidenz. Die KI hat bereits die meisten Fehlalarme herausgefiltert und die Ergebnisse priorisiert.
4. Genehmigen Sie KI-generierte Korrekturen: Für jeden gültigen Fund generiert Corgea eine hochwertige Code-Korrektur. Diese Korrekturen werden als Vorschläge direkt im Arbeitsablauf des Entwicklers präsentiert (z. B. als Kommentar oder Vorschlag in einem Pull-Request). Entwickler können die Korrektur mit einem einzigen Klick überprüfen, genehmigen und zusammenführen, ohne den Kontext wechseln oder neue Tools erlernen zu müssen.
5. Anpassung mit natürlicher Sprache: Verwenden Sie PolicyIQ, um Corgea mit dem einzigartigen Geschäftskontext Ihrer Organisation zu versehen. Sie können benutzerdefinierte Sicherheitsrichtlinien in einfachem Englisch schreiben und durchsetzen, die die Plattform verwendet, um die Erkennung zu verbessern, bestimmte Arten von Fehlalarmen zu eliminieren und Code-Korrekturen an Ihre Umgebung anzupassen.

Kernfunktionen von Corgea

• Vollständige Abdeckung: Eine einzige Plattform für SAST, SCA, Secret-Scanning, Malware-Scanning und PII/PHI-Datenleckerkennung.
• KI-gesteuerte Triage: Nutzt LLMs, um Fehlalarme drastisch zu reduzieren (bis zu 90 %) und Schwachstellen basierend auf realem Risiko zu priorisieren.
• Automatisierte Code-Korrekturen: Generiert sofort zusammenführbare Code-Patches für identifizierte Schwachstellen und beschleunigt die Behebungszeiten erheblich.
• PolicyIQ: Eine einzigartige Funktion, die es Teams ermöglicht, benutzerdefinierte Sicherheitsrichtlinien in natürlicher Sprache zu definieren, wodurch Sicherheitsregeln zugänglich und einfach zu verwalten sind.
• Entwicklerzentrierte Integrationen: Nahtlose Integration mit beliebten SCMs wie GitHub und Azure DevOps sowie IDEs wie VS Code und Visual Studio 2022, sodass Entwickler in ihren bevorzugten Umgebungen bleiben können.
• SLA-Management & Blockierregeln: Setzen Sie Sicherheitsstandards durch, indem Sie Lösungszeiten mit SLAs verfolgen und Blockierregeln verwenden, um die Zusammenführung von nicht konformem Code zu verhindern.
• Erweiterte Berichterstattung: Bietet klare Einblicke in die Sicherheitslage Ihrer Codebasen mit umfassenden Analysen und Berichten.
• Breite Sprachunterstützung: Unterstützt nativ eine Vielzahl von Sprachen, einschließlich Java, JavaScript, TypeScript, Python, Go, Ruby, C#, C, C++, PHP und deren zugehörige Frameworks.

Anwendungsfälle für Corgea

Corgea ist ideal für moderne Softwareentwicklungs- und Sicherheitsteams. Wichtige Anwendungsfälle sind:

• DevSecOps-Automatisierung: Einbettung von automatisiertem Sicherheitsscanning und -korrektur direkt in die CI/CD-Pipeline, um Probleme frühzeitig zu erkennen und zu beheben, ohne die Entwicklungsgeschwindigkeit zu verlangsamen.
• Reduzierung des Schwachstellen-Backlogs: Sicherheitsteams können Corgea verwenden, um bestehende Backlogs schnell abzuarbeiten, indem sie sich auf KI-priorisierte Bedrohungen konzentrieren und automatisierte Korrekturen nutzen.
• Secure by Design: Befähigung von Entwicklern, von Anfang an sichereren Code zu schreiben, indem sie sofortiges Feedback und gebrauchsfertige Korrekturen in ihrem Arbeitsablauf erhalten.
• Compliance und Governance: Sicherstellung, dass der Code internen Sicherheitsrichtlinien und externen regulatorischen Anforderungen (wie dem Schutz von PII/PHI) durch anpassbare, natürlichsprachliche Richtlinien und Durchsetzungsregeln entspricht.

Vorteile von Corgea

Corgea bietet einen erheblichen Vorteil gegenüber traditionellen Sicherheitstools, da es ein „Zauberstab“ ist, der nicht nur Probleme aufzeigt, sondern sie auch löst. Zu den Hauptvorteilen gehören eine massive Reduzierung des manuellen Aufwands für Sicherheitsteams, die Gewissheit für CISOs, dass Schwachstellen behoben werden, und die Befähigung von Entwicklern, sichere Produkte schneller auszuliefern. Die Plattform ist SOC II-konform und stellt sicher, dass Ihre Daten mit höchster Sicherheit behandelt werden.

Preise und Pläne

Corgea bietet eine flexible Preisstruktur für Teams jeder Größe:

• Kostenloser Plan: 0 $/Monat für 1 Entwickler, einschließlich 2 Repos und 10 PR-Scans/Monat mit Kern-Scan-Funktionen.
• Starter-Plan: 14 $/Monat pro Entwickler, bietet mehr Repos, Scans und bis zu 10 automatische Korrekturen pro Monat.
• Growth-Plan: 29 $/Monat pro Entwickler, für Teams bis zu 10 Personen, mit erhöhten Limits, Integrationen (JIRA, Slack) und grundlegender Berichterstattung.
• Scale-Plan: 49 $/Monat pro Entwickler, für Teams bis zu 100 Personen, mit unbegrenzten Ressourcen, PolicyIQ, SSO und Blockierregeln.
• Enterprise-Plan: Individuelle Preise für große Organisationen, einschließlich unbegrenzter Nutzung, API-Zugang, privaten KI-Modellen, Premium-Support und privaten Cloud-Bereitstellungsoptionen.