透過開放原始碼的可視性來支援資料導向的資安決策

為資安團隊消除開放原始碼程式開發風險的盲點

將資安融入您應用程式開發的前期

雲端資安領導廠商趨勢科技與開發人員導向的開放原始碼資安領導廠商 Snyk 合作，確保企業所開發及部署的軟體在不斷變化的網路威脅情勢下也不怕漏洞攻擊。

開放原始碼套件是應用程式開發與加快上市時程的基礎。但資安團隊卻缺乏可視性來協助他們發掘企業應用程式開發環境內的開放原始碼程式與相依元件所帶來的風險。

駭客會利用開放原始碼套件與相依元件的漏洞來攻擊那些在應用程式當中使用這些問題程式碼的企業，例如，所有版本的 NodeJS 套件 (1337qq-js) 都含有惡意程式碼，該套件會在安裝腳本當中將敏感資訊傳送給駭客，而且專門攻擊 UNIX 系統。

光要讓開發人員明確掌握自己用到的所有程式套件就已經不易，更何況要讓資安團隊追蹤整個企業內所有開放原始碼套件的漏洞與修補更新，更是難上加難。

合作的價值

因應資安挑戰

向您介紹 Trend Micro Cloud One – Open Source Security by Snyk

讓資安與開發團隊彼此合作

我們並未忽視開發團隊，反而是協助他們成為資安高手

想像一下，如果能讓雲端開發團隊與雲端資安團隊從程式碼建立到執行時期 (而且從開放原始碼導入的那一刻起) 就能全面合作，並且涵蓋任何開發環境，完全不干擾軟體供應流程，會是什麼樣子。

藉由與 Snyk 合作，我們讓開發團隊與資安營運團隊的關係更加緊密，提供史上第一套專為此目的設計的服務來提升應用程式開發及營運流程對資安的重視與團隊合作。

Trend Micro Cloud One™ – Open Source Security by Snyk 能自動發掘、過濾優先次序、並且回報您應用程式用到的開放原始碼相依元件當中的漏洞與授權風險。它是專為雲端開發人員設計的 Trend Micro Cloud One 防護平台當中的一環，此平台能為資安團隊提供完整的防護來保護企業。

Open Source Security 能協助資安團隊跟上應用程式開發的腳步，透過一種有系統的檢視來查看可能衝擊營運及客戶的風險。

有了 Trend Micro Cloud One，資安營運團隊就能隨時掌握開發專案中的已知風險，在主控台上優先監控關鍵的問題，並與開發團隊討論任何狀況。這樣一來，資安人員能為資安長 (CISO) 管理所關心的風險，既能提升應用程式安全，又能改善應用程式開發實務。

直接掌握原始程式碼管理與建構流程的可視性。
管理開放原始碼漏洞的風險。
指導並協助解決資安問題，不讓問題變成威脅。

查看您的容器映像目前含有什麼漏洞

根據 Gartner Research 的資料

90% 的科技人員都仰賴開放原始碼元件。¹

這項持續深化的合作，能與趨勢科技目前在 Trend Micro Cloud One™ – Container Security 中採用的 Snyk 原始程式碼漏洞掃描技術相輔相成。

Container Security 提供了最佳的容器核准與執行時期控管以及容器映像掃描來偵測各種資安問題，包括：惡意程式、機密與金鑰、違反法規的情況，以及漏洞。

開放原始碼軟體，很可能導致您程式碼出現漏洞，讓您的軟體暴露於漏洞攻擊的危險，以及潛在的機密資訊外洩。

在納入 Synk 的開放原始碼漏洞資料庫之後，Container Security 就能將防護進一步向流程的上游延伸，偵測容器映像及登錄中的開放原始碼漏洞。

影片：您的最大效益

專為安全打造

結合趨勢科技與 Snyk 彼此的漏洞情報，自動給您最佳的漏洞防護來防範最新及未知的威脅。

Container Security 能提供您所需的資安洞見和防護來因應不斷變化的網路威脅情勢。而 Open Source Security 則將 Snyk 的開放原始碼漏洞資料庫與我們強大完整的漏洞規則結合，協助您保護應用程式開放原始碼、容器映像以及登錄。

在適當時機運用適當的技術來防範已知、未知及未公開的漏洞。

Open Source Security 目前提供哪些功能？

提供完整的服務來讓資安團隊監控程式庫中的開放原始碼漏洞與授權風險。
經由儀表板和報表來監控企業整體採用開放原始碼的情況和趨勢。
發掘開發人員所不知道的漏洞，並從 Snyk 的知識庫中尋找明確的矯正步驟。
自動產生開放原始碼「物料清單」(Bill of Materials) 報表，更早落實法規遵循。
提升 SecOps 與 DevOps 團隊間的合作，協助建立最佳實務原則好讓 DevOps 團隊追蹤風險。

Cloud One 的良伴

開發人員再也不必在黑暗中摸索，趨勢科技讓 SecOps 與 DevOps 更密切合作，更早掌握開放原始碼與容器風險的可視性。

藉由這些精密的功能，並且將資安防護融入開發流程前期，您就再也不需因為不可預見的威脅而造成容器部署的延宕。

關於 Snyk

Snyk 是一套開發人員導向的資安解決方案，專門協助企業安全地採用開放原始碼。Snyk 以其獨特的漏洞資料庫為基礎，不斷尋找及修正開放原始碼中的已知漏洞與授權違規情況。它能整合至開發人員的工作流程當中、與原始碼管理平台整合 (如 GitHub、BitBucket、GitLab)、融入 CI/CD 流程，並持續監控線上生產環境的平台服務 (Platform as a Service，簡稱 PaaS) 與無伺服器 (serverless) 應用程式。

目前已有超過 220 萬名開發人員正開心地使用 Snyk

合作關係公告

進一步了解

[1] https://www.gartner.com/en/documents/3971011/technology-insight-for-software-composition-analysis