Açık Kaynak Görünürlüğü – Dev ve SecOps Arasındaki Köprü

Kör noktaları ve açık kaynak geliştirme risklerini ortadan kaldırın

Güvenliğin uygulama geliştirmenin en erken aşamalarında uygulanmasını sağlıyoruz

Bulut güvenliğinde lideri Trend Micro ve açık kaynak yazılım güvenliği lideri Snyk, yazılımların sürekli değişen siber tehdit ortamında güvenlik açıklarından korunmasına yardımcı olmak için iş birliğine gitti.

Açık kaynak paketleri, uygulama geliştirmenin temelidir ve pazara sunma süresini hızlandırır. Güvenlik ekipleri, kuruluşlarının uygulama geliştirme ortamları genelinde açık kaynak kodunun ve bağımlılık riskinin etkisini belirleme konusunda yardıma ihtiyaç duyuyor.

Siber korsanlar, uygulamalarında aynı güvenli olmayan kaynak kodunu kullanan birden çok kuruluşta saldırılar gerçekleştirmek için açık kaynak paketlerindeki ve bağımlılıklardaki güvenlik açıklarından yararlanır. Örneğin, NodeJS paketinin (1337qq-js) tüm sürümleri kötü amaçlı kod içerir. Paket, kurulum komut dosyaları aracılığıyla hassas bilgileri sızdırır ve UNIX sistemlerini hedefler. Uygulama geliştiricilerin kullandıkları tüm kod paketlerini takip etmeleri zor bir süreçtir ve paket güvenlik açıklarını ve yamaları takip etmek daha da büyük bir zorluk haline geliyor.

Kevin Simzer

İş ortaklığının değeri

Mark Nunnikhoven

Güvenlik zorluklarına yanıt verme

Introducing Trend Micro Cloud One – Open Source Security by Snyk

Geliştirme ekiplerini göz ardı etmiyoruz – güvenlik konusunda bilgili olmalarına yardımcı oluyoruz

Geva Solomonovich

Güvenlik ve geliştirici ekiplerini bir araya getirme

Açık kaynak kodunun tanıtıldığı andan itibaren herhangi bir geliştirme ortamında, yazılım teslim sürecini kesintiye uğratmadan, kod oluşturmadan çalışma zamanına kadar eksiksiz bir işbirliğine ve kapsama sahip bulut oluşturucular ve bulut güvenliği mühendislerini hayal edin.

Snyk ile birlikte, derleme ve operasyon yaşam döngüsü boyunca güvenliğin daha fazla odaklanması ve işbirliği için amaca yönelik hizmetle geliştirici ve güvenlik operasyonları ekiplerini ilk kez bir birine yakınlaştırıyoruz.

2021'in başlarında kullanıma sunulan bu teklif, güvenlik operasyonlarına yardımcı olmak için Trend Micro Cloud One™ platformunda sunuluyor

  • Doğrudan kaynak kodu yönetiminden görünürlük elde edin ve işlem hatları oluşturun
  • Açık kaynak güvenlik riskini yönetin
  • Güvenlik sorunlarını tehdit haline gelmeden önce yönlendirin ve çözümüne yardımcı olun
     

Bu genişleyen ortaklık, Trend Micro'nun güvenlik operasyonları ekiplerine konteyner imajı ve kayıt güvenliği konusunda yardımcı olmaya yönelik mevcut tekliflerini tamamlıyor ve Snyk'in kaynak kodu güvenlik açığı taramasını içeriyor.

Konteyner imajlarınızda şu anda hangi güvenlik açıklarının bulunduğunu öğrenin

Gartner Research'e göre

Teknoloji uzmanlarının %90’ı açık kaynaklı bileşenlere güveniyor 1

Trend Micro’nun konteyner güvenliği, kötü amaçlı yazılımlar, gizli dizeler ve anahtarlar, uyumluluk ihlalleri ve güvenlik açıkları gibi güvenlik endişelerini tek bir çözümden tespit etmek için sınıfının en iyisi konteyner imaj taraması sağlıyor.

Geliştirici ekipleri, birinci sınıf istihbarat ekibimizin kural akışları sayesinde yalnızca paket yöneticisi tarafından yüklenen uygulamalarda değil, aynı zamanda doğrudan yüklenen uygulamalarda da güvenlik açıklarını tespit edebiliyor.

Açık kaynaklı yazılım bağımlılıkları, kodunuzda güvenlik açıklarına neden olabilir ve sonuç olarak yazılımı gizli bilgilerin kaybedilmesine yol açabilecek istismarlara maruz bırakabilir. Synk’in açık kaynak güvenlik açığı veritabanıyla Trend Micro’nun konteyner güvenliği, güvenlik açığı tespitini açık kaynakları içerecek şekilde genişleterek daha kapsamlı bir hale getiriyor.

Şu an hangi yetenekler mevcut?

*Trend Micro’nun konteyner güvenliği Snyk ile entegre olur ve hem Trend Micro™ Deep Security™ Smart Check - Container Image Security hem de Trend Micro Cloud One™ – Container Security içerir.

Trend Micro’nun konteyner güvenliği, üretim hattı imajı ve kayıt defterinin kötü amaçlı yazılımlar, güvenlik açıkları, içerik ve uyumluluk tarayıcılarına karşı korunması için eksiksiz bir güvenlik yaklaşımı sunar. Güvenlik açıklarını, kötü amaçlı yazılımları, sırları ve anahtarları ve uyumluluk ihlallerini arayarak yazılım oluşturma hattındaki konteyner görüntülerini tarar.

Güvenlik açığı istihbaratı, Snyk'in açık kaynaklara yönelik güvenlik açığı veritabanıyla bir araya getirilerek konteyner imajında kullanılan açık kaynak kütüphanelerinden oluşan bir envanter oluşturulur. Bir paket içinde herhangi bir güvenlik açığı tespit edildiğinde sistem bu güvenlik açığını otomatik olarak Snyk'in açık kaynaklara yönelik güvenlik açığı veritabanında tarar ve herhangi bir eşleşme olup olmadığına bakar.

Trend Micro’nun konteyner güvenliği DevOps ekiplerini bilgilendirir ve Snyk Uygulama Güvenliği Yönetimi, geliştiricilerin kaynak kodlarındaki güvenlik açıklarını kolayca düzeltmelerini sağlar.

Güvenliğin geliştirme sürecinin en başında uygulanması ve sofistike yetenekler sayesinde öngörülemeyen tehditler nedeniyle konteynerların dağıtımının ertelenmesine gerek kalmaz.

Snyk Hakkında

Snyk logosu

Snyk, açık kaynak kodlarını güvenli bir şekilde kullanmanıza ve güvende kalmanıza yardımcı olan geliştiricileri ön planda tutan bir güvenlik çözümüdür. Benzersiz güvenlik açığı veritabanını temel alan Snyk, açık kaynak bağımlılıklarında bilinen güvenlik açıklarını ve lisans ihlallerini sürekli olarak tarar ve bulunan tehditleri ortadan kaldırır. Snyk, geliştirici iş akışına entegre olur, kaynak kontrolü (örneğin GitHub, BitBucket, GitLab) ile entegre olur, CI/CD hatlarınıza bağlanır ve PaaS modeliyle oluşturma aşamasındaki sunucusuz uygulamaları sürekli olarak izler.

Şu anda 300 binin üzerinde geliştirici Snyk’ten faydalanıyor.

İş Birliği Duyurusu

[1] https://www.gartner.com/en/documents/3971011/technology-insight-for-software-composition-analysis