Suchen

Codesicherheit

Cortex® Cloud lässt sich in Entwicklertools integrieren, um automatisierte Sicherheitsfunktionen für cloudnative Infrastrukturen und Anwendungen bereitzustellen.

Code Security

Die Entwicklung cloudnativer Anwendungen ist dynamisch und komplex, sodass Sicherheitsteams oft Probleme haben, Schritt zu halten. Einige Best Practices für DevOps bieten jedoch die Möglichkeit, Apps und Infrastrukturen mithilfe von Automatisierungsfunktionen von der Codeerstellung bis zur Cloud-Nutzung zu schützen und dadurch die Teams zu entlasten.

Automatisierte Sicherheitsprüfungen für eine agile Entwicklung

Traditionelle Sicherheitsprüfungen eignen sich nicht für die agile Entwicklung und verlangsamen die Geschäftsprozesse. Um die Fehlerbehebung zu ermöglichen, ohne Verzögerungen zu verursachen, müssen die Sicherheitsmaßnahmen in den Entwicklungszyklus eingebunden werden – von Pull-Anfragen und CI-Builds bis zu Registrys und Laufzeitumgebungen.

Spezielle Tools für cloudnative Architekturen

Mit Infrastructure-as-Code (IaC), Open-Source-Software und Microservices können Entwicklerteams die besten Tools, Sprachen und Cloud-Umgebungen für jeden Service wählen. Aber Sicherheitsteams kennen sich nicht mit jeder einzelnen Komponente aus. Sie benötigen automatisierte Sicherheitstools, die schon vor der Bereitstellung auf Sicherheitslücken, Fehlkonfigurationen und unzureichend geschützte Secrets hinweisen.

Höhere Kosten durch isolierte Codesicherheitstools

Sicherheitsmaßnahmen für die Kompilierung und Laufzeit sorgen dafür, dass Teams konsistentes Feedback erhalten. Aber sie benötigen integrierte Tools, die auf Sicherheitslücken, Fehlkonfigurationen, Abhängigkeiten und unzureichend geschützte Secrets hinweisen und Netzwerkkontextdaten bereitstellen. So lassen sich False Positives vermeiden, kritische Bedrohungen priorisieren und die Risiken für den gesamten Lebenszyklus (von der Codeerstellung bis zur Cloud-Nutzung) minimieren.

Ein Tool zum Schutz von Code in allen modernen Architekturen und Softwarelieferketten

Cortex Cloud bettet umfassende Sicherheitsmaßnahmen in den Software-Entwicklungszyklus ein. Die Plattform identifiziert Sicherheitslücken, Fehlkonfigurationen, Complianceverstöße und unzureichend geschützte Secrets bereits zu Beginn des Entwicklungszyklus. Mit Cortex Cloud profitieren Unternehmen nicht nur von Scans von IaC-Vorlagen, Container-Images, Open-Source-Paketen und Bereitstellungs-Pipelines, sondern auch von einer aktiven Open-Source-Community und der jahrelangen Erfahrung der Experten von Palo Alto Networks. Dank des umfassenden Überblicks in einer zentralen Konsole und diverser Richtlinienprüfungen können Entwicklerteams ihren gesamten Stack schützen, ohne zwischen Tools wechseln zu müssen, und Sicherheitsteams dafür sorgen, dass nur sicherer Code bereitgestellt wird.
  • Unterstützung mehrerer Sprachen, Laufzeitumgebungen und Frameworks
  • Konsistente Kontrollfunktionen von der Kompilierung bis zur Laufzeit
  • Einbettung in DevOps-Tools
  • Infrastructure-as-Code(IaC)-Scans
    Infrastructure-as-Code(IaC)-Scans
  • Software Composition Analysis (SCA)
    Software Composition Analysis (SCA)
  • Scans von Secrets
    Scans von Secrets
  • Policy-as-Code
    Policy-as-Code
  • Compliance mit der OSS-Lizenz
    Compliance mit der OSS-Lizenz
DIE CORTEX CLOUD-LÖSUNG

Unser Ansatz für die Codesicherheit

Infrastructure-as-Code-Scans

Infrastructure-as-Code bietet die Möglichkeit, Cloud-Infrastrukturen direkt im Code zu sichern, bevor sie in der Produktionsumgebung bereitgestellt werden. Cortex Cloud optimiert die Sicherheitsmaßnahmen für den gesamten Software-Entwicklungszyklus durch Automatisierungsfunktionen und die Einbettung der Sicherheitsfunktionen in die Arbeitsabläufe von DevOps-Tools für Terraform, CloudFormation, Kubernetes, Dockerfile, Serverless und ARM-Vorlagen.

  • Automatisierte Sicherheitsscans für Code in der Cloud

    Mithilfe von automatisierten Prüfungen lassen sich Fehlkonfigurationen und unzureichend geschützte Secrets in jeder Phase des Software-Entwicklungszyklus aufdecken.

  • Unterstützung durch Open-Source-Tool und -Community

    Checkov ist ein führendes Open-Source-Tool für Policy-as-Code, das die IaC-Sicherheitsfunktionen von Cortex Cloud ergänzt. Es wird von einer aktiven Community unterstützt und wurde bereits millionenfach heruntergeladen.

  • Anzeige von Feedback zur Codesicherheit direkt in den Entwicklertools

    Cortex Cloud bietet native Integrationen für IDE, VCS und CI/CD-Tools, damit Teams auch mit ihren bestehenden Arbeitsabläufen sicheren Code entwickeln können.

  • Detaillierte Kontextdaten zu Fehlkonfigurationen

    Cortex Cloud verfolgt automatisch Abhängigkeiten der IaC-Ressourcen und die neuesten Änderungen der Entwickler, um die Zusammenarbeit in großen Teams zu verbessern.

  • Automatisches Feedback und Fehlerbehebungen im Code

    Sie können automatisch Kommentare zu Pull-Anfragen für Fehlkonfigurationen sowie automatische Pull-Anfragen, Commit-Korrekturen und Smart Fixes für identifizierte Fehlkonfigurationen erhalten.

Mehr dazu
Infrastructure-as-Code-Scans

Software Composition Analysis (SCA)

Ein Großteil des modernen Anwendungscodes besteht aus Open-Source-Abhängigkeiten. Da allerdings häufig nicht klar ist, welche Abhängigkeiten tatsächlich genutzt werden, und Entwickler fürchten, Fehler verursachende Änderungen (Breaking Changes) vorzunehmen, werden Sicherheitslücken nicht rechtzeitig behoben. Cortex Cloud kann in die Entwicklertools integriert werden, um Sicherheitslücken in Open-Source-Paketen aufzudecken und die gesamte Abhängigkeitsstruktur darzustellen. Auf diese Weise lassen sich Fehler flexibel und im Detail beheben.

  • Branchenführende Quellen für zuverlässige Open-Source-Sicherheit

    Cortex Cloud prüft Open-Source-Abhängigkeiten und gleicht sie mit öffentlichen Datenbanken wie NVD und Cortex Cloud Intelligence Stream ab, um Sicherheitslücken aufzudecken.

  • Umfassende und kontextbezogene Identifizierung von Schwachstellen

    Cortex Cloud verarbeitet Daten aus der Paketverwaltung, um Abhängigkeitsstrukturen bis auf die niedrigste Ebene zu ermitteln, und kann Infrastruktur- und Anwendungsrisiken kombinieren, um die Fehlerbehebung zu beschleunigen.

  • Integration von Open-Source-Sicherheitsmaßnahmen in den gesamten Entwicklungszyklus

    Da den Entwicklern in Echtzeit Feedback zu Sicherheitslücken in IDEs und Pull/Merge-Anfragen in VCS angezeigt sowie Builds gemäß definierten Grenzwerten blockiert werden, können Sie Ihre cloudnative Umgebung proaktiv schützen.

  • Fehlerbehebung ohne Sorge vor Breaking Changes

    Sie können bei der Behebung von Sicherheitslücken in direkten und transitiven Abhängigkeiten Empfehlungen zum minimal notwendigen Update erhalten, um die Beeinträchtigung kritischer Funktionen zu vermeiden. Außerdem lassen sich mehrere Fehler gleichzeitig beheben und dabei einzelne Versionen für jedes Paket auswählen.

Software Composition Analysis

Schutz von Secrets

Angreifer benötigen nur wenige Minuten, um Anmeldedaten online zu finden und auszunutzen. Cortex Cloud ermöglicht die Identifizierung von Secrets vor der Bereitstellung in der Produktionsumgebung. Mithilfe von Signaturen und heuristischen Verfahren können Sie Secrets in IaC-Vorlagen und Container-Images in Kompilierungsumgebungen finden und entfernen.

  • Identifizierung von Secrets in nahezu jedem Dateityp

    Sie können Kennwörter und Tokens in den Konfigurationen von IaC-Vorlagen, Golden Images und Git-Repositorys identifizieren.

  • Anzeige von Secrets in Entwicklertools

    Hardcodierte Secrets können Entwicklern in IDEs, CLIs, Pre-Commit-Hooks und CI/CD-Tools angezeigt werden.

  • Mehrdimensionale Secrets-Scans

    Sie können gängige und selten verwendete Secrets mithilfe von regulären Ausdrücken (RegEx), Keywords oder entropiebasierten Kennungen aufdecken.

Secrets scanning

Policy-as-Code

Herkömmliche Sicherheitstests werden von unterschiedlichen Abteilungen mit eigenen Tools ausgeführt, wodurch die Kontrollen isoliert und nur schwer nachzuvollziehen sind. Cortex Cloud bietet Policy-as-Code, damit Kontrollfunktionen in den Code integriert werden können, die sich nachbilden lassen, Versionskontrollen ermöglichen und in Live-Code-Repositorys getestet werden.

  • Erstellung und Verwaltung von Richtlinien direkt im Code

    Sie können Checklisten, Skiplisten und auf Diagrammen basierende Richtlinien in Python und YAML für IaC-Vorlagen einrichten, testen und Versionskontrollen durchführen.

  • Einrichtung und Konfiguration von Konten und Agenten im Code

    Nutzen Sie Terraform, um Konten einzurichten, Agenten zu implementieren und Laufzeitrichtlinien festzulegen, einschließlich Integration und Schutz durch OpenAPI- und Swagger-Dateien.

  • Vorkonfigurierte und benutzerdefinierte Richtlinien zur Verhinderung von Fehlkonfigurationen

    Cortex Cloud umfasst standardmäßig Hunderte Richtlinien im Code. Sie können zudem benutzerdefinierte Richtlinien für Cloud-Ressourcen und IaC-Vorlagen hinzufügen.

  • Feedback während der Codeentwicklung

    In IaC-Vorlagen sind direktes Feedback mit automatischen Korrekturen, Kommentare für Pull-/Merge-Anfragen und automatische Korrekturen für Pull-/Merge-Anfragen möglich.

Mehr dazu
Policy as code

Compliance mit der OSS-Lizenz

Jedes Unternehmen hat eigene Nutzungsrichtlinien für Open-Source-Lizenzen. Warten Sie nicht so lange, bis bei einer manuellen Complianceprüfung festgestellt wird, dass eine Open-Source-Bibliothek Ihre Anforderungen nicht erfüllt. Cortex Cloud listet Open-Source-Lizenzen für Abhängigkeiten auf und kann Bereitstellungen anhand von benutzerdefinierten Richtlinien melden oder blockieren:

  • Vermeidung kostspieliger Verstöße gegen Open-Source-Lizenzen

    Sie können Feedback schon früh im Entwicklungszyklus anzeigen und Builds bei Verstößen gegen Open-Source-Paketlizenzen blockieren lassen. Es werden alle gängigen Sprachen und Paketverwaltungssysteme unterstützt.

  • Problemsuche in Git- und anderen Repositorys

    Cortex Cloud umfasst native Integrationen für VCS wie GitHub und Bitbucket, kann aber mit unserem Befehlszeilentool auch alle anderen Repositorytypen überprüfen.

  • Standardregeln oder benutzerdefinierte Alarme und Sperrfunktionen

    Geben Sie Parameter für Alarme und Sperrfunktionen nach Lizenztyp ein, die Ihren internen Anforderungen für Copyleft und freizügige Lizenzen (Premissive Licenses) erfüllen.

Compliance mit der OSS-Lizenz

Weitere Funktionen in Application Security

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

SOFTWARE COMPOSITION ANALYSIS (SCA)

Äußerst präzise und kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Graphenbasierte Lieferkettensicherheit für Umgebungen zur Anwendungsentwicklung

Mehr dazu

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Mehr dazu

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen