L'AI-SPM continua a essere disponibile per tutti gli utenti di Prisma® Cloud durante la fase di lancio del prodotto Secure AI by Design    Iniziamo!
Ricerca

Analisi della composizione del software

Affronta in modo proattivo le vulnerabilità e i problemi di conformità delle licenze open source con integrazioni per i team di sviluppo e la definizione di priorità in base al contesto.
Richiedi una versione di prova gratuita
Host Security Hero Front Image
Host Security Hero Back Image

Più le vulnerabilità si diffondono e sono in grado di eludere i controlli, più le organizzazioni hanno bisogno di un modo rapido, facile e fluido per affrontare i rischi dei software open source. È nella sottile linea di confine tra i livelli di infrastruttura e applicazione cloud-native che si può proteggere il codice all'origine, direttamente negli strumenti DevOps. Seguendo un approccio che unisce sicurezza e conformità per l'open source, le organizzazioni possono ridurre al minimo i falsi positivi, classificare i risultati per priorità e mettere il codice al sicuro, in tempi più rapidi.

Leggi la ricerca di Unit 42® sulle vulnerabilità nel codice open source.

Scarica il report
1

Le applicazioni cloud-native si basano su codice open source

I software open source costituiscono una parte importante delle applicazioni cloud-native e permettono ai team di sviluppo di passare dritto alla creazione di nuove funzionalità senza riscrivere tutto daccapo. Nonostante tutti i vantaggi che offrono, i software open source di terze parti pongono diversi rischi per la sicurezza e la conformità che vanno affrontati in qualsiasi programma di sicurezza cloud-native.
2

La proliferazione delle dipendenze porta con sé nuovi rischi

I software open source comprendono molti livelli di dipendenze di pacchetto, per cui è difficile sapere dove e come vengono utilizzate nell'intero stack dell'applicazione. Oltre a questo, spesso le vulnerabilità si nascondono nelle dipendenze transitive. Per monitorare queste vulnerabilità e licenze è necessario un approccio continuo e integrato.
3

Gli strumenti di sicurezza isolati creano falle nella sicurezza

Se non si conosce il contesto completo dell'infrastruttura di un'applicazione, è difficile determinare se una vulnerabilità individuata ha creato una reale esposizione o presenta solo un rischio basso. Mettendo in relazione i risultati sulla sicurezza di applicazioni e infrastruttura, è possibile contestualizzare le vulnerabilità nell'intera base di codice, con una migliore definizione delle priorità e tempi di correzione più rapidi.

Prisma Cloud aiuta i team di sviluppo a eliminare i rischi legati all'open source senza rallentamenti.

Prisma Cloud si integra negli strumenti DevOps e in qualsiasi fase, dalla codifica al runtime, ed esegue un'analisi proattiva dei pacchetti open source per rilevare le vulnerabilità e i problemi di conformità delle licenze. Grazie a un modello dati che collega i punti deboli dell'infrastruttura e delle applicazioni a livello di codice, estrapola le dipendenze e applica correzioni bump granulari, Prisma Cloud si differenzia dalle altre soluzioni SCA.
  • Vista unica sui rischi collegati di infrastrutture e applicazioni
  • Integrazione negli strumenti e nei flussi di lavoro di sviluppo
  • Sicurezza per l'intero ciclo di vita di pacchetti e immagini dei container
  • Basato su origini attendibili
    Basato su origini attendibili
  • Integrazioni facili da usare per i team di sviluppo
    Integrazioni facili da usare per i team di sviluppo
  • Scansione dell'albero delle dipendenze senza limiti
    Scansione dell'albero delle dipendenze senza limiti
  • Correzioni bump
    Correzioni bump
  • Analisi delle licenze e report di audit
    Analisi delle licenze e report di audit
  • Regole di applicazione personalizzate
    Regole di applicazione personalizzate
LA SOLUZIONE PRISMA CLOUD

Analisi della composizione del software orientata alle esigenze di sviluppo e al contesto

Precisa e contestualizzata

Basato sui database delle vulnerabilità più affidabili e collegato al database delle policy di infrastruttura più solido del settore, Prisma Cloud Software Composition Analysis (SCA) mostra ai team di sviluppo le vulnerabilità con il contesto necessario per capire i rischi e applicare le correzioni rapidamente. Prisma Cloud offre la massima copertura open source necessaria per fermare le prossime vulnerabilità all'istante:

  • Esegui analisi in tutti i linguaggi e le utilità di gestione dei pacchetti con una precisione senza pari

    Identifica le vulnerabilità nei pacchetti open source grazie al supporto dei principali linguaggi di programmazione e oltre 30 origini dati upstream per ridurre al minimo i falsi positivi.

  • Sfrutta le origini migliori del settore per la massima sicurezza open source

    Prisma Cloud analizza le dipendenze open source ovunque siano e le confronta con i database pubblici come NVD e Prisma Cloud Intelligence Stream per individuare le vulnerabilità e proporre spunti utili per le correzioni.

  • Collega i rischi dell'infrastruttura con quelli delle applicazioni

    Restringi la ricerca delle vulnerabilità che mettono realmente a rischio la base di codice per limitare i falsi positivi e definire la priorità delle correzioni in tempi più brevi.

  • Identifica le vulnerabilità a livello di dipendenza

    Prisma Cloud acquisisce i dati di gestione dei pacchetti per estrapolare l'albero delle dipendenze fino all'ultimo livello e identificare i rischi nascosti.

  • Visualizza e cataloga la supply chain del software

    Il grafico Supply Chain Graph mostra l'inventario consolidato di pipeline e codice. Con il quadro di tutti i collegamenti e la possibilità di generare distinte base del software (SBOM) è più facile tenere sotto controllo i rischi delle applicazioni e la superficie di attacco.

Precisa e contestualizzata

Perfettamente integrata con correzioni flessibili

Solo i team di sviluppo conoscono il perché e il percome vengono utilizzate le librerie open source: informarli sulle possibili vulnerabilità è il modo migliore per correggerle. Grazie alle integrazioni native di Prisma Cloud con gli strumenti di sviluppo e l'estensibilità dell'interfaccia CLI, il modulo SCA si inserisce perfettamente nei flussi di lavoro di sviluppo in modo che le vulnerabilità vengano fuori nel posto giusto e al momento giusto.

  • Integra la sicurezza open source negli strumenti e nei flussi di lavoro di sviluppo

    Offri ai team di sviluppo la certezza di integrare i nuovi pacchetti nelle basi di codice senza problemi con feedback sulle vulnerabilità in tempo reale tramite le richieste pull/merge dei sistemi IDE e VCS.

  • Crea e applica policy personalizzate nell'intero ciclo di vita

    Integra la gestione delle vulnerabilità per analizzare repository, registri, pipeline CI/CD e ambienti di runtime, nonché per determinare i software bloccati o consentiti.

  • Correggi gli errori senza introdurre modifiche che interrompono il flusso di lavoro

    Ricevi suggerimenti su modifiche minime per correggere le vulnerabilità nelle dipendenze dirette e transitive senza il rischio di fermare funzioni critiche. Correggi più errori alla volta con la possibilità di selezionare versioni granulari per pacchetto.

  • Crea una distinta base del software

    Prisma Cloud collocherà le dipendenze nei repository e creerà distinte base del software (SBOM) e dell'infrastruttura (IBOM), esportabili in formati standard.

Perfettamente integrata con correzioni flessibili

Compresa nella piattaforma CNAPP

L'unico modo per garantire una protezione completa delle applicazioni cloud-native consiste nella scansione delle vulnerabilità a ogni livello e fase del ciclo di sviluppo. L'analisi SCA è una delle funzionalità della piattaforma per la protezione delle applicazioni cloud-native di Prisma Cloud che identifica i rischi dal codice al cloud.

  • Individua i rischi nel codice in fase di compilazione e test del software

    Controlla i pacchetti e le immagini open source per rilevare vulnerabilità e problemi di conformità nei repository come GitHub e nei registri come Docker, Quay, Artifactory e tanti altri.

  • Distribuisci solo immagini verificate

    Sfrutta la scansione delle immagini e l'analisi sandbox dei container di Prisma Cloud per individuare e bloccare le immagini dannose e lasciar passare in produzione solo quelle sicure.

  • Previeni le attività dannose negli ambienti di runtime

    Gestisci tutte le policy di runtime da un'unica console centralizzata per tenere la sicurezza sempre presente in ogni distribuzione. Grazie alla mappatura degli incidenti in base al framework MITRE ATT&CK, insieme all'analisi forense e ai ricchi metadati, i team SOC possono tracciare le minacce per i carichi di lavoro cloud-native temporanei.

  • Sicurezza del runtime contestualizzata

    Rileva e previeni gli errori di configurazione e le vulnerabilità che comportano violazioni dei dati e della conformità in fase di runtime con un inventario completo delle risorse cloud, valutazioni della configurazione, correzioni automatizzate e molto altro.

Compresa nella piattaforma CNAPP

Conformità delle licenze software open source

Non attendere che sia svolta una revisione manuale per scoprire che la libreria open source non è conforme ai requisiti di utilizzo delle licenze. Prisma Cloud cataloga le dipendenze delle licenze open source e può inviare avvisi o bloccare le distribuzioni in base a policy di licenza personalizzabili.

  • Evita violazioni costose delle licenze open source

    Ottieni feedback immediati, blocca le build in base alle violazioni delle licenze open source e sfrutta il supporto dei linguaggi e delle utilità di gestione dei pacchetti più diffusi.

  • Sfrutta le policy predefinite in base agli standard di settore

    Le policy preconfigurate prevedono diversi livelli di gravità convalidati per i tipi di licenza più diffusi e gli schemi corrispondenti per i tipi di licenza non standard per semplificare la determinazione dell'uso accettabile.

  • Crea policy personalizzate e applicare i requisiti di conformità interni

    Imposta delle regole basate sui tipi di licenza in modo che corrispondano ai requisiti interni per i copyleft e le licenze con privilegi eccessivi. Blocca le violazioni delle policy all'inizio con le integrazioni per gli strumenti DevOps ed evita i problemi legati alla non conformità delle licenze nelle fasi successive.

Conformità delle licenze software open source

Moduli di sicurezza del codice

SICUREZZA DELL'INFRASTRUCTURE AS CODE

Sicurezza IaC automatizzata e integrata nei flussi di lavoro di sviluppo

Ulteriori informazioni

ANALISI DELLA COMPOSIZIONE DEL SOFTWARE (SCA)

Sicurezza e conformità delle licenze open source contestualizzate

Ulteriori informazioni

SICUREZZA DELLA SUPPLY CHAIN DEL SOFTWARE

Protezione completa per i componenti e le pipeline software

Ulteriori informazioni

SICUREZZA DEI SEGRETI

Analisi multidimensionale full stack dei segreti di repository e pipeline.

Ulteriori informazioni
RISORSE IN EVIDENZA

Approfondisci cosa può fare Prisma Cloud per la tua azienda

Tutte le risorse
SCHEDA TECNICA

Analisi della composizione del software

Scarica
SCHEDA TECNICA

Sicurezza del codice

Scarica
WHITE PAPER

Checklist per la composizione del software

Scarica
REPORT DI RICERCA

Report sulle minacce cloud di Unit 24: Proteggi la supply chain del software per proteggere il cloud

Leggi il report completo

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce