הסטארט-אפ היומי: צ'קמרקס – תכנות מאובטח
החברה התל אביבית מנסה להקדים את עיתוי בדיקות האבטחה של הקוד אותו כותבים המתכנתים, ולקיים אותן צמוד ככל האפשר לרגע כתיבת הקוד ● Salesforce.com כבר אימצה את הפתרון
מתכנתים הם בדרך כלל לא מומחי אבטחה, ואינם בהכרח מודעים לכל פרצות האבטחה שעשויות להיווצר במוצר התוכנה העתידי אותו הם מפתחים. חברות תוכנה גדולות אמנם משקיעות משאבים בסדנאות אבטחה למתכנתים שלהן, אך אלו אינם יכולים להיות מעודכנים בכל פרצות האבטחה שמתגלות מדי יום במוצרי התוכנה מצד שלישי איתם הם עובדים או בסביבות הפיתוח שמשמשות אותם.
בדרך כלל, עמלים המתכנתים על כתיבת קוד תוכנה חדש, או שהם עסוקים בשיפור או תיקון קוד שכבר כתבו מתכנתים אחרים, ורק לאחר סיום כתיבת הקוד והתקנתה של האפליקציה בסביבת לקוח ניסיונית, מגיעים מומחי אבטחה חיצונים (Pen Testers), החמושים בכלי פריצה חדישים, ומנסים לאתר ולהטליא את כל פרצות האבטחה האפשריות שנוצרו באפליקציה.
חברת הסטארט-אפ התל אביבית צ'קמרקס (Checkmarx), שהוקמה על ידי מתי סימן, וגייסה השקעת הון סיכון מקבוצת עופר היי-טק, מנסה להקדים את עיתוי בדיקות האבטחה של הקוד אותו כותבים המתכנתים, ולקיים אותן צמוד ככל האפשר לרגע כתיבת הקוד. "שלא כמו המתחרים שלנו, אנחנו היחידים שיכולים לסרוק קוד ברמה של קבצי טקסט שעוד לא עברו קומפילציה", מסביר עמנואל בן זקן, מנכ"ל צ'קמרקס. "זה אומר שאפשר לעשות את הבדיקה של הקוד החדש אל מול כל פרצות האבטחה הידועות – כבר בזמן הכתיבה שלו, ולהיכנס לתהליך בדיקות האבטחה כבר בשלב מוקדם מאוד של תהליך פיתוח התוכנה".
חברת בדיקות האבטחה הצעירה, שמעסיקה כעשרים עובדים, מנסה להתחרות בחברות אבטחה גדולות ומנוסות שכבר פועלות כמה שנים בתחום בדיקות האבטחה מסוג White BOX (סוג של בדיקות בהם קוד המקור חשוף לתוכנת הבדיקה, וזאת לא מדמה האקר מזדמן), תחום בו בולטות חברות ותיקות ומנוסות דוגמת Fortify ו-Ounces lab. אך לדברי בן זקן, צ'קמרקס כבר הצליחה להשיג לקוחות רבים, ביניהן נטוויז'ן ואמדוקס מישראל, ואפילו ענקית ה-SaaS האמריקנית Salesforce.com, שהייתה הלקוח הגדול הראשון בארצות הברית.
"אנחנו חברת האבטחה היחידה בעולם שמאפשרת פיקוח אבטחה על הקוד של Apex – שפת הפיתוח של Salesforce.com", מצהיר בן זקן ומוסיף, כי "אנחנו גם תומכים בבדיקות קוד של ג'אווה, דוט.נט, ו-ויז'ואל בייסיק". צ'קמרקס עדיין אינה תומכת בבדיקות קוד PHP ותומכת רק באופן חלקי בבדיקת קוד ASP, מה שמכוון אותה יותר אל בדיקות אבטחה של תוכנה ופחות לאיתור פרצות אבטחה בקוד של אתרי אינטרנט. למרות זאת, מציין בן זקן, כי לצ'מרקס יש מנוע שאילתות עצמאי דרכו יכולים לקוחות החברה להגדיר כל שאילתה שהיא אל מול הקוד אותו הם מעוניינים לבדוק. ואין זה משנה באיזו שפת תכנות הוא כתוב ואם החיפוש הוא אחר פרצת אבטחה, כשל לוגי, או כל דבר אחר שייתכן ומתחבר בקוד המקור.
בתחילת 2009 עשתה צ'קמרקס צעד חשוב ושחררה את גרסת האנטרפרייז שלה, שמאפשרת להפעיל את התוכנה אל מול קוד שנכתב על ידי צוות של מתכנתים שעובדים בצוותא ולא רק מול תחנת עבודה בודדת, בתחילת 2009 גם נפרדה חברת הסטארט-אפ מהאיש הכי מפורסם ששמו נקשר אליה, רב אלוף משה (בוגי) יעלון, הרמטכ"ל לשעבר, שהצטרף בשנת 2007 ל-"וועדה המייעצת" של צ'קמארקס. "זה היה מאוד חשוב שהצטרף לחברה גנרל כוכב, והוא נתן לנו דחיפה שיווקית רצינית בעיתוי הנכון", מספר בן זקן. "יעלון היה איתנו כמעט שנתיים, והוא עזב בדיוק עכשיו, לפני הבחירות".
מוכרים בחמשת אלפים שקל וחושבים שהם איזה הצלחה מסחררת. מוצר שלא שווה כלום עם אנשים שיש להם אגו מנופח. שומר נפשו ירחק