Wgląd w open source — sztuka pogodzenia DevOps i SecOps

Eliminuj martwe punkty i ryzyko związane w wykorzystaniem oprogramowania open source

Wdrażanie zabezpieczeń we wczesnej fazie tworzenia aplikacji

Trend Micro, wiodący producent zabezpieczeń chmury i Snyk, wiodący producent zabezpieczeń dla programistów w środowisku open source, współpracują, aby pomóc Ci tworzyć oprogramowanie wolne od exploitów w świecie nieustannie zmieniających się zagrożeń cybernetycznych.

Pakiety open source stanowią podstawę aplikacji i znacznie skracają czas wprowadzania programu na rynek. Dlatego zespoły ds. bezpieczeństwa muszą analizować wpływ kodu open source i szacować ryzyko związane z jego wykorzystaniem na środowiska programistyczne w organizacji.

Hakerzy wykorzystują luki bezpieczeństwa obecne w pakietach i zależnościach open source do przeprowadzania ataków na różne organizacje, które wykorzystują ten sam niezabezpieczony kod w swoich aplikacjach. Na przykład wszystkie wersje pakietu NodeJS (1337qq-js) zawierają złośliwy kod. Pakiet ten wydobywa wrażliwe informacje przez skrypty instalacyjne i bierze na cel systemy UNIX. Podczas gdy trudno jest kontrolować wszystkie pakiety wykorzystywane do tworzenia oprogramowania, jeszcze większym wyzwaniem jest kontrolowanie obecnych w nich luk bezpieczeństwa i ich poprawek.

Zalety partnerstwa

Odpowiedź na wyzwania związane z bezpieczeństwem

Nie pomijamy zespołów programistycznych, tylko pomagamy im zdobyć wiedzę na temat technik zabezpieczeń

Zbliżenie zespołów programistycznych i ds. zabezpieczeń

Wyobraź sobie, że twórcy usług chmurowych i specjaliści od bezpieczeństwa chmury ściśle ze sobą współpracują od początku pisania kodu do jego uruchomienia — w każdym środowisku programistycznym od momentu wprowadzenia kodu open source, nie przerywając procesu dostawy oprogramowania.

Wspólnie z firmą Snyk zbliżamy do siebie zespoły programistyczne i zajmujące się zapewnianiem bezpieczeństwa za pomocą pierwszej w historii specjalnej usługi wspomagającej koncentrację i współpracę w zakresie bezpieczeństwa w procesie tworzenia oprogramowania i operacji.

Ta usługa wspierająca operacje związane z zapewnianiem bezpieczeństwa, której uruchomienie jest planowane na początku 2021 r., będzie dostępna na platformie Trend Micro Cloud One™

  • Zdobądź pełny obraz bezpośrednio od procesów zarządzania kodem źródłowym i budowy aplikacji
  • Zarządzaj ryzykiem związanym z lukami bezpieczeństwa w kodzie open source
  • Wykrywaj i rozwiązuj problemy dotyczące bezpieczeństwa zanim zaczną stanowić zagrożenie
     

To rozwijające się partnerstwo uzupełnia istniejącą ofertę Trend Micro o wsparcie dla zespołów operacyjnych w zakresie zabezpieczania obrazów kontenerów i rejestrów oraz zawiera skaner kodu źródłowego pod kątem luk bezpieczeństwa od Snyk.

Dowiedz się, jakie luki bezpieczeństwa czają się w Twoich obrazach kontenerów

Według badań przeprowadzonych przez firmę Gartner

90% specjalistów korzysta z komponentów open source. 1

Platforma zabezpieczeń kontenerów Trend Micro zawiera najlepszy w swojej klasie skaner obrazów kontenerów umożliwiający wykrywanie licznych problemów, w tym malware, tajnych danych i kluczy, rozwiązań niezgodnych z przepisami oraz luk bezpieczeństwa.

Programiści otrzymują reguły przygotowywane przez naszych światowej klasy specjalistów od analizy zagrożeń, za pomocą których mogą wykrywać luki bezpieczeństwa nie tylko w aplikacjach instalowanych za pośrednictwem menedżera pakietów, ale również w bezpośrednio instalowanych programach.

Elementy w technologii open source mogą wprowadzać do oprogramowania luki bezpieczeństwa, narażając je na ataki, a co za tym idzie — utratę poufnych danych. Dzięki bazie danych luk bezpieczeństwa Synk platforma zabezpieczeń kontenerów Trend Micro rozszerza swój zakres działania także na oprogramowanie open source.

Jakie możliwości są dostępne dziś?

Platforma zabezpieczeń kontenerów Trend Micro umożliwia integrację z bazą danych Snyk i zawiera rozwiązania Trend Micro™ Deep Security™ Smart Check – Container Image Security i Trend Micro Cloud One™ – Container Security.

To kompleksowe rozwiązanie do budowy systemu ochrony obrazów i rejestrów zawierającego skanery malware, luk bezpieczeństwa, treści oraz zgodności z przepisami. Ponadto skanuje ono obrazy kontenerów w trakcie procesu budowy oprogramowania w poszukiwaniu luk bezpieczeństwa, malware, tajnych danych i kluczy oraz rozwiązań niezgodnych z obowiązującymi przepisami.

Połączenie naszych wyników analiz z bazą danych luk bezpieczeństwa w oprogramowaniu open source Snyk pozwala stworzyć listę bibliotek open source wykorzystywanych w obrazie kontenera. Wówczas, jeśli w którymś pakiecie zostanie odkryta luka, system automatycznie porównuje zebrane informacje z danymi w bazie danych Snyk.

Platforma Trend Micro powiadamia zespoły DevOps, a narzędzie Snyk Application Security Management umożliwia programistom usunięcie usterki powodującej zagrożenie z kodu źródłowego.

Taka zaawansowana funkcjonalność w połączeniu z wdrożeniem zabezpieczeń na wczesnym etapie tworzenia oprogramowania chroni przed koniecznością przesuwania terminów wdrożeń kontenerów z powodu wykrycia nieprzewidzianych zagrożeń.

O firmie Snyk

Logo firmy Snyk

Snyk to rozwiązanie bezpieczeństwa dla programistów, które ułatwia bezpieczne korzystanie z kodu typu open source. Snyk, wykorzystując swoją wyjątkową bazę danych, nieustannie znajduje i likwiduje znane luki bezpieczeństwa oraz ujawnia przypadki złamania licencji w zależnościach oprogramowania open source. Integruje się z procesem budowy oprogramowania i systemem kontroli kodu źródłowego (np. GitHub, BitBucket, GitLab) oraz podłącza się do procesów CI/CD, aby nieustannie monitorować aplikacje typu PaaS i działające bez użycia serwera.

Z rozwiązania Snyk korzysta już ponad 300 tysięcy programistów

Ogłoszenie nawiązania współpracy