Прозрачность открытого исходного кода для успешного сотрудничества между Dev и SecOps
Устраните «слепые зоны» и снизьте риски использования открытого исходного кода
Подумайте о безопасности в начале процесса разработки
Лидер в облачной безопасности Trend Micro стал партнером Snyk, ведущей компании в сфере обеспечения безопасности используемого открытого исходного кода еще на ранних этапах разработки. Цель партнерства — предоставление клиентам гарантии того, что их приложения защищены от эксплойтов в условиях постоянно меняющейся картины киберугроз.
Пакеты с открытым исходным кодом являются основой разработки ПО и позволяют быстрее вывести продукты на рынок. Командам обеспечения безопасности необходима помощь в определении рисков, которые открытый исходный код и зависимости представляют для сред разработки в организации.
Злоумышленники пользуются уязвимостями в зависимостях и пакетах с открытым исходным кодом, чтобы проводить атаки сразу на несколько организаций, в чьих приложениях задействован этот код. Например, все версии пакета NodeJS 1337qq-js содержат вредоносный код, предназначенный для систем UNIX: с помощью установочных скриптов осуществляется кража конфиденциальной информации. Разработчикам трудно уследить за всеми используемыми пакетами и еще труднее — за всеми их уязвимостями и обновлениями.
Мы не игнорируем разработчиков — мы помогаем им разрабатывать защищенные приложения
Представьте, что разработчики облачных приложений и инженеры облачной безопасности тесно сотрудничают над безопасностью кода от его создания до выполнения, при использовании любой среды разработки, с момента задействования открытого исходного кода и без прерывания процесса доставки приложений.
Вместе с компанией Snyk мы устраняем разрыв между разработкой и обеспечением безопасности с помощью первой специализированной службы, предназначенной для совместного обеспечения безопасности на всех этапах создания и эксплуатации приложений.
Предложение доступно через платформу Trend Micro Cloud One™. Благодаря ему вы можете:
- получить обзор происходящего в процессах сборки и управления исходным кодом;
- управлять рисками, связанными с уязвимостями в открытом исходном коде;
- устранять проблемы безопасности до того, как они станут угрозами.
Сотрудничество со Snyk позволяет расширить текущее предложение Trend Micro для специалистов по безопасности, нацеленное на защиту образов контейнеров и реестров. Теперь к предлагаемым возможностям добавлена функциональность для сканирования исходного кода на наличие уязвимостей.
Возможности обеспечения безопасности контейнеров, предоставляемые Trend Micro, включают лучшую в своем классе функциональность сканирования образов. Для обнаружения рисков безопасности (включая вредоносные программы, уязвимости, конфиденциальные данные, ключи и нарушения требований регуляторов) понадобится всего одно решение.
Разработчики смогут выявлять уязвимости в приложениях, установленных как с помощью диспетчеров пакетов, так и напрямую. Правила обнаружения предоставляются нашими экспертными аналитиками угроз.
Зависимости от открытого исходного кода могут привести к появлению уязвимостей в ваших приложениях, которые могут, в свою очередь, стать причиной утечки конфиденциальной информации. Trend Micro задействует специальную базу данных Snyk для обнаружения уязвимостей в открытом исходном коде и, таким образом, позволяет обеспечивать безопасность контейнеров как можно раньше.
Какие возможности уже доступны?
Возможности Trend Micro для обеспечения безопасности контейнеров включают в себя интеграцию с платформой Snyk и компоненты Trend Micro™ Deep Security™ Smart Check – Container Image Security и Trend Micro Cloud One™ – Container Security.
Trend Micro позволяет осуществить комплексный подход к безопасности образов (в том числе в процессе сборки), контейнеров и реестров с помощью сканирования на наличие вредоносных программ, уязвимостей, конфиденциальных данных, ключей и нарушений требований регуляторов.
Благодаря сочетанию нашей аналитики уязвимостей с базой данных Snyk создается инвентарь библиотек открытого исходного кода, используемого в образах контейнеров, и если в пакете обнаружена уязвимость, система автоматически ищет ее в базе Snyk для подтверждения обнаружения.
Команды DevOps получают оповещения, а благодаря возможностям Snyk для управления безопасностью приложений разработчики могут легко устранить уязвимости.
С такими расширенными возможностями и обеспечением безопасности на ранних этапах разработки вам больше не понадобится откладывать развертывание контейнеров из-за непредвиденных угроз.
О компании Snyk
Snyk — это разработчик одноименного решения для обеспечения безопасности при использовании в разработке открытого исходного кода. Платформа Snyk задействует собственную уникальную базу данных уязвимостей, чтобы постоянно находить и устранять известные уязвимости и нарушения лицензий в зависимостях от открытого исходного кода. Возможности платформы легко задействовать в процессе разработки благодаря интеграции с системами управления исходным кодом (GitHub, BitBucket, GitLab и пр.), встраиванию в процессы CI/CD и непрерывному мониторингу для уже развернутого в среде эксплуатации ПО из категорий платформа как услуга (PaaS) и бессерверные вычисления.
Платформой Snyk пользуются уже >300 000 разработчиков
Объявление о партнерстве