Прозрачность открытого исходного кода для успешного сотрудничества между Dev и SecOps

Устраните «слепые зоны» и снизьте риски использования открытого исходного кода

Подумайте о безопасности в начале процесса разработки

Лидер в облачной безопасности Trend Micro стал партнером Snyk, ведущей компании в сфере обеспечения безопасности используемого открытого исходного кода еще на ранних этапах разработки. Цель партнерства — предоставление клиентам гарантии того, что их приложения защищены от эксплойтов в условиях постоянно меняющейся картины киберугроз.

Пакеты с открытым исходным кодом являются основой разработки ПО и позволяют быстрее вывести продукты на рынок. Командам обеспечения безопасности необходима помощь в определении рисков, которые открытый исходный код и зависимости представляют для сред разработки в организации.

Злоумышленники пользуются уязвимостями в зависимостях и пакетах с открытым исходным кодом, чтобы проводить атаки сразу на несколько организаций, в чьих приложениях задействован этот код. Например, все версии пакета NodeJS 1337qq-js содержат вредоносный код, предназначенный для систем UNIX: с помощью установочных скриптов осуществляется кража конфиденциальной информации. Разработчикам трудно уследить за всеми используемыми пакетами и еще труднее — за всеми их уязвимостями и обновлениями.

Польза сотрудничества

Решение трудных задач по обеспечению безопасности

Мы не игнорируем разработчиков — мы помогаем им разрабатывать защищенные приложения

Устраняем разрыв между разработкой и безопасностью

Представьте, что разработчики облачных приложений и инженеры облачной безопасности тесно сотрудничают над безопасностью кода от его создания до выполнения, при использовании любой среды разработки, с момента задействования открытого исходного кода и без прерывания процесса доставки приложений.

Вместе с компанией Snyk мы устраняем разрыв между разработкой и обеспечением безопасности с помощью первой специализированной службы, предназначенной для совместного обеспечения безопасности на всех этапах создания и эксплуатации приложений.

Предложение доступно через платформу Trend Micro Cloud One™. Благодаря ему вы можете:

получить обзор происходящего в процессах сборки и управления исходным кодом;
управлять рисками, связанными с уязвимостями в открытом исходном коде;
устранять проблемы безопасности до того, как они станут угрозами.

Сотрудничество со Snyk позволяет расширить текущее предложение Trend Micro для специалистов по безопасности, нацеленное на защиту образов контейнеров и реестров. Теперь к предлагаемым возможностям добавлена функциональность для сканирования исходного кода на наличие уязвимостей.

Узнайте, какие уязвимости содержат ваши образы контейнеров

Согласно исследованиям Gartner,

90% специалистов полагаются на компоненты с открытым исходным кодом ¹.

Возможности обеспечения безопасности контейнеров, предоставляемые Trend Micro, включают лучшую в своем классе функциональность сканирования образов. Для обнаружения рисков безопасности (включая вредоносные программы, уязвимости, конфиденциальные данные, ключи и нарушения требований регуляторов) понадобится всего одно решение.

Разработчики смогут выявлять уязвимости в приложениях, установленных как с помощью диспетчеров пакетов, так и напрямую. Правила обнаружения предоставляются нашими экспертными аналитиками угроз.

Зависимости от открытого исходного кода могут привести к появлению уязвимостей в ваших приложениях, которые могут, в свою очередь, стать причиной утечки конфиденциальной информации. Trend Micro задействует специальную базу данных Snyk для обнаружения уязвимостей в открытом исходном коде и, таким образом, позволяет обеспечивать безопасность контейнеров как можно раньше.

Видео: Главная выгода от партнерства Snyk и Trend Micro

Ускорение процессов

Возможности Trend Micro для обеспечения безопасности образов контейнеров и база данных Snyk по уязвимостям в открытом исходном коде легко интегрируются в инструменты CI/CD через API. Благодаря автоматизации рисков становится меньше, а процесс сборки не усложняется.

Защищенность

Совместно технологии Trend Micro и Snyk позволяют автоматически обнаруживать наибольшее количество уязвимостей для защиты от новых и неизвестных угроз.

Trend Micro предоставляет аналитическую информацию и защитные возможности для обеспечения безопасности контейнеров, необходимые при постоянно меняющейся картине угроз, а также помогает обеспечить соответствие требованиям PCI DSS, HIPAA и NIST. База данных Snyk по уязвимостям в открытом исходном коде дополняет обширный набор правил обнаружения от Trend Micro, чтобы лучше защищать ваши приложения, образы контейнеров и реестры.

Подробнее

Ориентация на DevOps

Применять открытый исходный код может быть удобно, но в этом есть свои риски. Trend Micro защищает контейнеры уже на ранних этапах разработки, чтобы разработчики могли сосредоточиться на своих непосредственных задачах, не отвлекаясь на проблемы безопасности.

Какие возможности уже доступны?

Возможности Trend Micro для обеспечения безопасности контейнеров включают в себя интеграцию с платформой Snyk и компоненты Trend Micro™ Deep Security™ Smart Check – Container Image Security и Trend Micro Cloud One™ – Container Security.

Trend Micro позволяет осуществить комплексный подход к безопасности образов (в том числе в процессе сборки), контейнеров и реестров с помощью сканирования на наличие вредоносных программ, уязвимостей, конфиденциальных данных, ключей и нарушений требований регуляторов.

Благодаря сочетанию нашей аналитики уязвимостей с базой данных Snyk создается инвентарь библиотек открытого исходного кода, используемого в образах контейнеров, и если в пакете обнаружена уязвимость, система автоматически ищет ее в базе Snyk для подтверждения обнаружения.

Команды DevOps получают оповещения, а благодаря возможностям Snyk для управления безопасностью приложений разработчики могут легко устранить уязвимости.

С такими расширенными возможностями и обеспечением безопасности на ранних этапах разработки вам больше не понадобится откладывать развертывание контейнеров из-за непредвиденных угроз.

О компании Snyk

Snyk — это разработчик одноименного решения для обеспечения безопасности при использовании в разработке открытого исходного кода. Платформа Snyk задействует собственную уникальную базу данных уязвимостей, чтобы постоянно находить и устранять известные уязвимости и нарушения лицензий в зависимостях от открытого исходного кода. Возможности платформы легко задействовать в процессе разработки благодаря интеграции с системами управления исходным кодом (GitHub, BitBucket, GitLab и пр.), встраиванию в процессы CI/CD и непрерывному мониторингу для уже развернутого в среде эксплуатации ПО из категорий платформа как услуга (PaaS) и бессерверные вычисления.

Платформой Snyk пользуются уже >300 000 разработчиков

Объявление о партнерстве

Подробнее

[1] https://www.gartner.com/en/documents/3971011/technology-insight-for-software-composition-analysis