開放原始碼可視性 – 跨越 Dev 與 SecOps 之間的鴻溝

消除採用開放原始碼的盲點與風險。

將資安融入您應用程式開發的前期

雲端資安領導廠商趨勢科技與開發人員導向的開放原始碼資安領導廠商 Snyk 合作,確保您部署的軟體在不斷變化的網路威脅情勢下也不怕漏洞攻擊。

開放原始碼套件是應用程式開發與加快上市時程的基礎。資安團隊需要一些協助來發掘他們企業應用程式開發環境內的開放原始碼程式與相依元件所帶來的風險。

駭客會利用開放原始碼套件與相依元件的漏洞來攻擊那些在應用程式當中使用這些問題程式碼的企業,例如,所有版本的 NodeJS 套件 (1337qq-js) 都含有惡意程式碼。該套件會在安裝腳本當中將敏感資訊傳送給駭客,而且專門鎖定 UNIX 系統。開發人員光要明確掌握自己用到的所有程式套件就已經不容易,要追蹤所有套件的漏洞與修補更新就難上加難。

合作的價值

因應資安挑戰

我們並未忽略了開發團隊,反而是協助他們成為資安高手

讓資安與開發團隊彼此合作

想像一下,如果能讓雲端開發團隊與雲端資安團隊從程式碼建立到執行時期 (而且從開放原始碼導入的那一刻起) 就能全面合作,並且涵蓋任何開發環境,完全不干擾軟體供應流程,會是什麼樣子。

藉由與 Snyk 合作,我們讓開發團隊與資安營運團隊的關係更加緊密,提供史上第一套專為此目的設計的服務來提升應用程式開發及營運流程對資安的重視與團隊合作。

此服務將於 2021 年在 Trend Micro Cloud One™ 平台推出來協助提升資安營運

  • 直接從原始程式碼管理與建構流程掌握可視性。
  • 管理開放原始碼漏洞的風險。
  • 指導並協助解決資安問題,不讓問題變成威脅。
     

這項持續擴大的合作關係,能與趨勢科技現有的方案相輔相成,協助資安營運團隊確保容器映像與容器登錄的安全,並且納入來自 Snyk 的原始程式碼漏洞掃瞄。

查看您的容器映像目前含有什麼漏洞

根據 Gartner Research 的資料

90% 的科技人員都仰賴開放原始碼元件。1

趨勢科技的容器防護在單一解決方案當中提供了最優異的容器映像掃瞄來偵測容器內的資安疑慮,包括:惡意程式、機密與金鑰、法規遵循問題以及漏洞。

開發人員團隊不僅能偵測封裝的應用程式所含的漏洞,還可掃瞄直接安裝的應用程式,並持續獲得來自世界級威脅情報團隊的最新規則。

開放原始碼軟體,很可能導致您程式碼出現漏洞,讓您的軟體暴露於漏洞攻擊的危險,進而造成機密資訊外洩。有了 Synk 的開放原始碼漏洞資料庫,趨勢科技的容器防護就能讓資安進一步向流程的上層延伸,偵測開放原始碼中的漏洞。

目前哪些功能已經上市?

趨勢科技的容器防護產品與 Snyk 整合,並與趨勢科技 Deep Security™ Smart Check - Container Image Security 以及 Trend Micro Cloud One™ - Container Security。

提供完整保護建構流程的容器映像與登錄,提供惡意程式、漏洞、內容與法規遵循等掃瞄功能。可在軟體建構流程當中執行容器映像掃瞄,搜尋其中是否含有漏洞、惡意程式、機密與金鑰、以及法規遵循問題。

結合我們的漏洞情報以及 Snyk 的開放原始碼漏洞資料庫,可建立容器映像內所用到的開放原始碼程式庫清單,一旦在某個套件當中發現含有漏洞,系統會自動與 Snyk 的開放原始碼漏洞資料庫進行比對,看看是否在資料庫內。

趨勢科技的容器防護會先通知 DevOps 團隊,然後再透過 Snyk Application Security Management 讓開發人員輕鬆修正原始碼的漏洞。

藉由這些精密的功能,並且將資安防護融入開發流程前期,您就再也不需因為不可預見的威脅而造成容器部署的延宕。

關於 Snyk

Snyk 標誌

Snyk 是一套開發人員導向的資安解決方案,專門協助您安全地採用開放原始碼。Snyk 以其獨特的漏洞資料庫為基礎,不斷尋找及修正開放原始碼中的已知漏洞與授權違規情況。Snyk 能整合至開發人員的工作流程當中、與原始碼管理平台整合 (如 GitHub、BitBucket、GitLab)、融入 CI/CD 流程,並持續監控線上生產環境的平台服務 (Platform as a Service,簡稱 PaaS) 與無伺服器 (serverless) 應用程式。

目前已有超過 30 萬名開發人員正開心地採用 Snyk

合作關係公告