A fejlesztési folyamatok egyre összetettebbé válnak, a támadók pedig továbbra is kihasználják a nyílt forráskódú ökoszisztémákat és a CI/CD automatizálást, hogy rosszindulatú kódot juttassanak be oda, ahol azt a legnehezebb észlelni. A csapatoknak szükségük van egy olyan módszerre, amellyel minden szoftverkomponenst ellenőrizni tudnak, mielőtt az továbbhaladna a szoftverfejlesztési életciklusban (SDLC), anélkül, hogy ez lassítaná a fejlesztők munkáját.
A szervezetek védelmi rendszerének megerősítése érdekében OPSWAT a MetaDefender Software Supply Chain for TeamCity OPSWAT . Ez az integráció automatizált fenyegetésérzékelést, titkos adatok elemzését és a függőségi kockázatok láthatóságát közvetlenül beépíti a TeamCity építési folyamatába, biztosítva, hogy minden építés biztonsági szempontból átvizsgálásra és ellenőrzésre kerüljön.
A harmadik felek és Supply Chain fokozódnak
A modern fejlesztési folyamatok nagymértékben támaszkodnak harmadik féltől származó csomagokra, nyílt forráskódú ökoszisztémákra, API-kra és elosztott mikroszolgáltatásokra. Ez a változás hatalmas sebességet és innovációt eredményezett, de egyúttal olyan mértékben bővítette a támadási felületet, amellyel a hagyományos biztonsági eszközök nem tudnak megbirkózni.
Az alkalmazások több ezer külső komponensből, konténerképekből, felhőszolgáltatások ból és OSS-könyvtárakból állnak össze. Valójában a legtöbb szervezet ma már alkalmazásainak több mint 90%-ában nyílt forráskódú függőségeket használ . De ez a függőség valódi kockázattal jár:
- A nem ellenőrzött harmadik féltől származó csomagok rosszindulatú szoftvereket tartalmazhatnak.
- Az elavult vagy sebezhető OSS rést hagyhat a csendes kihasználásnak.
- A komplex függőségi láncok miatt nehéz megmondani, hogy mi fut valójában a termelésben.
- A CI/CD automatizálás felgyorsítja a fejlesztést, de ellenőrizetlenül hagyva a kompromisszumok terjedését is felgyorsíthatja.
Hogyan működik
Integrálja a bővítményt a TeamCity-be néhány perc alatt:
Egyszerűen kezelhető és karbantartható
A TeamCity automatikusan felülírja a korábbi verziókat. A bővítményt bármikor visszaállíthatja vagy eltávolíthatja az adminisztrációs felületről.
Akár néhány mikroszolgáltatást, akár több száz adattárat kezel, a MetaDefender Software Supply Chain plugin skálázható alapot biztosít a szoftverellátási lánc biztonságához.
Előnyök
Rosszindulatú programok felderítése és megelőzése
A fejlesztési életciklus korai szakaszában ellenőrzi a buildjeit rosszindulatú artefaktumok után, és még mielőtt azok a termelésbe kerülnének, kiszűri a kompromittált csomagokat olyan forrásokból, mint az npm, a PyPI vagy a Maven.
Titkos információk kiszivárogtatásának megelőzése
API , jelszavakat, tokeneket és egyéb érzékeny adatokat azonosítja, mielőtt azok véletlenül tovább kerülnének a folyamatban.
Függőség és nyílt forráskódú kockázatok
Kiemeli az elavult, nem ellenőrzött vagy kockázatos függőségeket, beleértve a tranzitív függőségeket is, amelyeket általában könnyű figyelmen kívül hagyni.
Software zoftSoftware és átláthatóság
Minden buildhez szabványos formátumú (CycloneDX, SPDX) SBOM-jelentéseket generál, így csapata áttekintést kap az összes komponensről.
Kérdései vannak a beállítással vagy a bevált gyakorlatokkal kapcsolatban? Személyre szabott tanácsokat kaphat CI/CD környezetéhez.
