Suchen

Software Composition Analysis (SCA)

Entwicklerfreundliche Integrationen und kontextbasierte Priorisierung unterstützen Sie bei der proaktiven Beseitigung von Schwachstellen in Open-Source-Software und Verstößen gegen die Lizenzcompliance.
Kostenlose Testversion anfordern
Host Security Hero Front Image
Host Security Hero Back Image

Schwachstellen durchziehen immer mehr Code und sind schwieriger aufzuspüren. Daher brauchen Unternehmen eine schnellere, einfachere und nahtlose Möglichkeit, Risiken zu begegnen, die durch Open-Source-Code entstehen. Die unscharfe Trennung zwischen cloudnativer Infrastruktur und Anwendungsschichten lässt es sinnvoll erscheinen, Code bereits an der Quelle zu schützen – und zwar eingebettet in DevOps-Tools. Mit einem vernetzten Ansatz für Open-Source-Sicherheit und Compliance können Unternehmen False-Positives-Meldungen minimieren, Ergebnisse priorisieren und Code früher im Entwicklungszyklus schützen.

Lesen Sie in diesem Bericht, was die Forscher von Unit 42 über Schwachstellen in Open-Source-Code herausgefunden haben.

Bericht herunterladen
1

Cloudnative Anwendungen stützen sich auf Open-Source-Software

Open-Source-Software spielt eine wichtige Rolle bei der Entwicklung cloudnativer Anwendungen. Sie sorgt dafür, dass Entwickler das Rad nicht neu erfinden müssen und bei der Entwicklung neuer Funktionen einen Vorsprung haben. Doch bei allen Vorteilen birgt Open-Source-Software von Dritten auch Sicherheits- und Compliancerisiken, die im Rahmen eines Programms für cloudnative Sicherheit beseitigt werden müssen.
2

Weit verzweigte Abhängigkeiten erhöhen Risiken

Open-Source-Software (OSS) beinhaltet vielschichtige Abhängigkeiten zwischen Paketen, wodurch es zu einer besonderen Herausforderung wird, den Überblick darüber zu behalten, wo und wie einzelne OSS-Teile im gesamten Anwendungsstack genutzt werden. Erschwerend kommt hinzu, dass Schwachstellen oft in transitiven Paketen verborgen sind. Die genaue Verfolgung dieser Schwachstellen und Lizenzen gelingt nur mit einem kontinuierlichen und integrierten Ansatz.
3

Isolierte Sicherheitstools führen zu Abdeckungslücken

Ohne den vollständigen Kontext der Infrastruktur einer Anwendung lässt sich nur schwer ermitteln, ob eine gefundene Schwachstelle tatsächlich über die Anwendung zugänglich ist oder eher ein geringeres Risiko darstellt. Durch die Verknüpfung der Ergebnisse zur Anwendungs- und Infrastruktursicherheit werden Schwachstellen im Kontext der gesamten Codebasis offenbar, sodass sie besser priorisiert und schneller behoben werden können.

Prisma Cloud erleichtert Entwicklern die Beseitigung von Open-Source-Risiken, ohne ihre Arbeit zu verlangsamen.

Wird Prisma Cloud in DevOps-Tools und auf Codeebene eingebunden, können Open-Source-Pakete proaktiv während der Programmierung, Entwicklung, Implementierung und Laufzeit auf Schwachstellen und Verstöße gegen die Lizenzcompliance überprüft werden. Was das Datenmodell von Prisma Cloud von anderen SCA-Lösungen unterscheidet, ist die Verbindung von Infrastruktur- und Anwendungsschwächen auf Codeebene, vollständiger Extrapolation von Abhängigkeiten und präziser Fehlerbehebung auf Versionsebene.
  • Gesamtansicht verknüpfter Infrastruktur- und Anwendungsrisiken
  • Integration in Entwicklungstools und Arbeitsabläufe
  • Schutz der Pakete und Containerimages während des gesamten Lebenszyklus
  • Built on trusted sources
    Basiert auf vertrauenswürdigen Quellen
  • Developer-friendly integrations
    Nützliche Integrationen für Entwickler
  • Limitless dependency tree scanning
    Unbegrenzte Prüfung von Abhängigkeitsstrukturen
  • Version bump remediations
    Fehlerbehebung auf Versionsebene
  • License analysis and audit reporting
    Lizenzanalyse und Auditberichte
  • Custom enforcement rules
    Anpassbare Durchsetzungsregeln
PRISMA CLOUD

A Developer-First, Context-Aware Approach to Software Composition Analysis

Äußerst präzise und kontextbasiert

Da das SCA-Modul von Prisma Cloud die renommiertesten Datenbanken zu Schwachstellen nutzt und mit der branchenweit robustesten Datenbank für Infrastrukturrichtlinien verknüpft ist, liefert es Entwicklern den Kontext zu Schwachstellen mit, den diese zur Beurteilung des Risikos und zur schnellen Behebung benötigen. Prisma Cloud bietet die weitreichende Abdeckung bei Open-Source-Analysen, die notwendig ist, um Sicherheitslücken rechtzeitig zu verhindern:

  • Extrem präzise Scans für alle Sprachen und Paketmanager

    Die Suche nach Schwachstellen in Open-Source-Paketen unterstützt alle gängigen Sprachen und nutzt über 30 Datenquellen aus frühen Entwicklungsphasen zur Minimierung falscher Positivmeldungen.

  • Branchenführende Quellen für zuverlässige Open-Source-Sicherheit

    Prisma Cloud prüft Open-Source-Abhängigkeiten und gleicht sie mit öffentlichen Datenbanken wie NVD und Prisma Cloud Intelligence Stream ab, um Schwachstellen aufzudecken und wichtige Informationen zu deren Behebung bereitzustellen.

  • Verbindung von Infrastruktur- und Anwendungsrisiken

    Durch die gezielte Suche nach Schwachstellen, die sich in Ihrer Codebasis befinden, können Sie falsche Positivmeldungen reduzieren und Behebungsmaßnahmen schneller priorisieren.

  • Identifizierung von Schwachstellen auf allen Abhängigkeitsebenen

    Prisma Cloud verarbeitet Daten aus der Paketverwaltung, um Abhängigkeitsstrukturen bis auf die niedrigste Ebene zu ermitteln und so auch Open-Source-Risiken aufzudecken, die tief im Code versteckt sind.

  • Visualisierung und Katalogisierung der Softwarelieferkette

    Das Lieferkettendiagramm bietet eine konsolidierte Darstellung Ihrer Pipelines und des gesamten Codebestands. Die Visualisierung all dieser Verbindungen und die Möglichkeit zur Erstellung einer Softwarestückliste (SBOM) erleichtern es, Anwendungsrisiken und die Angriffsfläche im Blick zu behalten.

Infrastructure-Aware

Vollständige Verknüpfung mit flexibler Fehlerkorrektur

Nur die Entwickler verfügen über den erforderlichen Kontext, um zu wissen, wie und wo Open-Source-Bibliotheken genutzt wurden. Daher besteht die beste Strategie zur Beseitigung von Schwachstellen darin, ihnen das Feedback zur Verfügung zu stellen. Durch die Nutzung der nativen Integrationen für Entwicklertools in Prisma Cloud und der Erweiterbarkeit unserer CLI-Tools ist SCA vollständig in Entwicklungsabläufe eingebunden und hilft, Schwachstellen zur richtigen Zeit am richtigen Ort aufzudecken:

  • Integration von Open-Source-Sicherheit in Entwicklungstools und Arbeitsabläufe

    In Echtzeit über IDEs und Pull/Merge-Anfragen in VCS bereitgestelltes Feedback zu Schwachstellen ermöglicht Entwicklern die bedenkenlose Integration neuer Pakete in ihre Codebasis.

  • Erstellung und Durchsetzung maßgeschneiderter Richtlinien während des gesamten Lebenszyklus

    Durch die Integration des Schwachstellenmanagements werden Repositorys, Registrys, CI/CD-Pipelines und Laufzeitumgebungen konsequent geprüft, sodass Software entsprechend gesperrt oder zugelassen werden kann.

  • Fehlerbehebung ohne Sorge vor Breaking Changes

    Sie können bei der Behebung von Sicherheitslücken in direkten und transitiven Abhängigkeiten Empfehlungen zum minimal notwendigen Update erhalten, um die Beeinträchtigung kritischer Funktionen zu vermeiden. Außerdem lassen sich mehrere Fehler gleichzeitig beheben und dabei einzelne Versionen für jedes Paket auswählen.

  • Erstellung von Softwarestücklisten

    Prisma Cloud ermittelt die Abhängigkeiten in Repositorys und erstellt Stücklisten für Software (Software Bill of Materials, SBOM) und Infrastruktur (Infrastructure Bill of Materials, IBOM), die in die Standardformate exportiert werden.

Fully integrated with flexible fixes

Teil der CNAPP

Die entscheidende Voraussetzung für einen vollständigen Schutz cloudnativer Anwendungen ist die zuverlässige Erkennung von Schwachstellen auf allen Ebenen und in jedem Schritt des Entwicklungszyklus. SCA ist nur eine Komponente in der cloudnativen Plattform für den Anwendungsschutz von Prisma Cloud, die von der Codeerstellung bis zur Cloud-Nutzung Risiken identifiziert.

  • Identifizierung von Risiken im Code während der Softwareentwicklung und ‑prüfung

    Prüfen Sie Open-Source-Pakete und Images in Repositorys wie GitHub und Registrys, zum Beispiel Docker, Quay und Artifactory, auf Sicherheitslücken und Complianceverstöße.

  • Beschränkung der Bereitstellung auf geprüfte Images

    Mithilfe der Image-Scans und Analysen in Container-Sandboxes in Prisma Cloud können Sie schädliche Images identifizieren und blockieren, damit nur sichere Images in die Produktion gelangen.

  • Unterbindung von Aktivitäten in jeder Laufzeitumgebung

    Sie können Laufzeitrichtlinien in einer zentralen Konsole verwalten, damit bei jeder Bereitstellung die Sicherheitsvorgaben beachtet werden. Da Vorfälle dem MITRE ATT&CK-Framework zugeordnet werden und detaillierte forensische Daten und Metadaten zur Verfügung stehen, können SOC-Teams Bedrohungen für flüchtige cloudnative Workloads einfacher erkennen.

  • Kontextbasierte Laufzeitsicherheit

    Fehlkonfigurationen und Schwachstellen, die zu Datenlecks und Complianceverstößen führen, werden während der Laufzeit u. a. durch ein umfassendes Verzeichnis der Cloud-Ressourcen und Konfigurationsprüfungen erkannt und durch automatisierte Maßnahmen zur Fehlerbehebung verhindert.

Part of the CNAPP

Compliance mit der OSS-Lizenz

Warten Sie nicht so lange, bis bei einer manuellen Complianceprüfung festgestellt wird, dass eine Open-Source-Bibliothek Ihre Anforderungen hinsichtlich der Lizenznutzung nicht erfüllt. Prisma Cloud listet Open-Source-Lizenzen für Abhängigkeiten auf und kann Bereitstellungen anhand von benutzerdefinierten Richtlinien melden oder blockieren:

  • Vermeidung kostspieliger Verstöße gegen Open-Source-Lizenzen

    Sie können Feedback schon früh im Entwicklungszyklus anzeigen und Builds bei Verstößen gegen Open-Source-Paketlizenzen blockieren lassen. Es werden alle gängigen Sprachen und Paketverwaltungssysteme unterstützt.

  • Standardrichtlinien auf der Grundlage branchenüblicher Nutzung

    Vorkonfigurierte Richtlinien bieten gewichtete Schweregrade für gängige Lizenztypen und ermöglichen den Musterabgleich für nicht standardmäßige Lizenzsprache zur Vereinfachung der Erkennung akzeptabler Nutzung.

  • Erstellung maßgeschneiderter Richtlinien zur Durchsetzung interner Complianceanforderungen

    Definieren Sie nach Lizenztyp kategorisierte Regeln, die Ihre internen Anforderungen für Copyleft und freizügige Lizenzen (Premissive Licenses) erfüllen. Durch Integrationen in DevOps-Tools können Unternehmen Richtlinienverstöße früh verhindern und so spätere Probleme durch Lizenzverstöße vermeiden.

OSS license compliance

Module für die Codesicherheit

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

SOFTWARE COMPOSITION ANALYSIS (SCA)

Kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Umfassender Schutz von Softwarekomponenten und Pipelines

Mehr dazu

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Mehr dazu
ERGÄNZENDE RESSOURCEN

Welche Vorteile bietet Prisma Cloud für Ihr Unternehmen?

Alle Ressourcen anzeigen
Datenblatt

Software Composition Analysis (SCA)

Herunterladen
VIDEO

Was ist Software Composition Analysis (SCA)?

Jetzt ansehen
Whitepaper

Checkliste für Software Composition Analysis

Herunterladen
BLOGBEITRAG

Warum proaktive Compliance mit Open-Source-Lizenzen?

Blogbeitrag lesen
WEBINARAUFZEICHNUNG

Produktdemo: SCA

Jetzt ansehen
Datenblatt

Codesicherheit

Herunterladen

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen.

Beliebte Ressourcen

Rechtliche Hinweise

Häufig genutzte Ressourcen

Sicherheitslücke melden

Copyright © Palo Alto Networks 2024. Alle Rechte vorbehalten.