Suchen

Software Composition Analysis (SCA)

Entwicklerfreundliche Integrationen und kontextbasierte Priorisierung unterstützen Sie bei der proaktiven Beseitigung von Schwachstellen in Open-Source-Software und Verstößen gegen die Lizenzcompliance.
Demo anfordern
Host Security Hero Front Image

Schwachstellen durchziehen immer mehr Code und sind schwieriger aufzuspüren. Daher brauchen Unternehmen eine schnellere, einfachere und nahtlose Möglichkeit, Risiken zu begegnen, die durch Open-Source-Code entstehen. Die unscharfe Trennung zwischen cloudnativer Infrastruktur und Anwendungsschichten lässt es sinnvoll erscheinen, Code bereits an der Quelle zu schützen – und zwar eingebettet in DevOps-Tools. Mit einem vernetzten Ansatz für Open-Source-Sicherheit und Compliance können Unternehmen False-Positives-Meldungen minimieren, Ergebnisse priorisieren und Code früher im Entwicklungszyklus schützen.

Cloudnative Anwendungen stützen sich auf Open-Source-Software

Open-Source-Software spielt eine wichtige Rolle bei der Entwicklung cloudnativer Anwendungen. Sie sorgt dafür, dass Entwickler das Rad nicht neu erfinden müssen und bei der Entwicklung neuer Funktionen einen Vorsprung haben. Doch bei allen Vorteilen birgt Open-Source-Software von Dritten auch Sicherheits- und Compliancerisiken, die im Rahmen eines Programms für cloudnative Sicherheit beseitigt werden müssen.

Weit verzweigte Abhängigkeiten erhöhen Risiken

Open-Source-Software (OSS) beinhaltet vielschichtige Abhängigkeiten zwischen Paketen, wodurch es zu einer besonderen Herausforderung wird, den Überblick darüber zu behalten, wo und wie einzelne OSS-Teile im gesamten Anwendungsstack genutzt werden. Erschwerend kommt hinzu, dass Schwachstellen oft in transitiven Paketen verborgen sind. Die genaue Verfolgung dieser Schwachstellen und Lizenzen gelingt nur mit einem kontinuierlichen und integrierten Ansatz.

Isolierte Sicherheitstools führen zu Abdeckungslücken

Ohne den vollständigen Kontext der Infrastruktur einer Anwendung lässt sich nur schwer ermitteln, ob eine gefundene Schwachstelle tatsächlich über die Anwendung zugänglich ist oder eher ein geringeres Risiko darstellt. Durch die Verknüpfung der Ergebnisse zur Anwendungs- und Infrastruktursicherheit werden Schwachstellen im Kontext der gesamten Codebasis offenbar, sodass sie besser priorisiert und schneller behoben werden können.

Cortex® Cloud erleichtert Entwicklern die Beseitigung von Open-Source-Risiken, ohne ihre Arbeit zu verlangsamen.

Wird Cortex Cloud in DevOps-Tools und auf Codeebene eingebunden, können Open-Source-Pakete proaktiv während der Programmierung, Entwicklung, Implementierung und Laufzeit auf Schwachstellen und Verstöße gegen die Lizenzcompliance überprüft werden. Was das Datenmodell von Cortex Cloud von anderen SCA-Lösungen unterscheidet, ist die Verbindung von Infrastruktur- und Anwendungsschwächen auf Codeebene, vollständiger Extrapolation von Abhängigkeiten und präziser Fehlerbehebung auf Versionsebene.
  • Gesamtansicht verknüpfter Infrastruktur- und Anwendungsrisiken
  • Integration in Entwicklungstools und Arbeitsabläufe
  • Schutz der Pakete und Containerimages während des gesamten Lebenszyklus
  • Symbol: Basiert auf vertrauenswürdigen Quellen
    Basiert auf vertrauenswürdigen Quellen
  • Symbol: Nützliche Integrationen für Entwickler
    Nützliche Integrationen für Entwickler
  • Symbol: Unbegrenzte Prüfung von Abhängigkeitsstrukturen
    Unbegrenzte Prüfung von Abhängigkeitsstrukturen
  • Symbol: Fehlerbehebung auf Versionsebene
    Fehlerbehebung auf Versionsebene
  • Symbol: Lizenzanalyse und Auditberichte
    Lizenzanalyse und Auditberichte
  • Symbol: Anpassbare Durchsetzungsregeln
    Anpassbare Durchsetzungsregeln
DIE LÖSUNG

Entwicklerfreundlicher, kontextbasierter Ansatz für die Software Composition Analysis

Äußerst präzise und kontextbasiert

Da das SCA-Modul von Cortex Cloud die renommiertesten Datenbanken zu Schwachstellen nutzt und mit der branchenweit robustesten Datenbank für Infrastrukturrichtlinien verknüpft ist, liefert es Entwicklern den Kontext zu Schwachstellen mit, den diese zur Beurteilung des Risikos und zur schnellen Behebung benötigen. Cortex Cloud bietet die weitreichende Abdeckung bei Open-Source-Analysen, die notwendig ist, um Sicherheitslücken rechtzeitig zu verhindern:

  • Extrem präzise Scans für alle Sprachen und Paketmanager

    Die Suche nach Schwachstellen in Open-Source-Paketen unterstützt alle gängigen Sprachen und nutzt über 30 Datenquellen aus frühen Entwicklungsphasen zur Minimierung falscher Positivmeldungen.

  • Branchenführende Quellen für zuverlässige Open-Source-Sicherheit

    Cortex Cloud prüft Open-Source-Abhängigkeiten und gleicht sie mit öffentlichen Datenbanken wie NVD und Cortex Cloud Intelligence Stream ab, um Sicherheitslücken aufzudecken und Informationen über verfügbare Patches anzuzeigen.

  • Verbindung von Infrastruktur- und Anwendungsrisiken

    Durch die gezielte Suche nach Schwachstellen, die sich in Ihrer Codebasis befinden, können Sie falsche Positivmeldungen reduzieren und Behebungsmaßnahmen schneller priorisieren.

  • Identifizierung von Schwachstellen auf allen Abhängigkeitsebenen

    Cortex Cloud verarbeitet Daten aus der Paketverwaltung, um Abhängigkeitsstrukturen bis auf die niedrigste Ebene zu verfolgen und so auch Open-Source-Risiken aufzudecken, die tief im Code versteckt sind.

  • Visualisierung und Katalogisierung der Softwarelieferkette

    Das Lieferkettendiagramm bietet eine konsolidierte Darstellung Ihrer Pipelines und des gesamten Codebestands. Die Visualisierung all dieser Verbindungen und die Möglichkeit zur Erstellung einer Softwarestückliste (SBOM) erleichtern es, Anwendungsrisiken und die Angriffsfläche im Blick zu behalten.

Infrastructure-Aware

Vollständige Verknüpfung mit flexibler Fehlerkorrektur

Nur die Entwickler verfügen über den erforderlichen Kontext, um zu wissen, wie und wo Open-Source-Bibliotheken genutzt wurden. Daher besteht die beste Strategie zur Beseitigung von Schwachstellen darin, ihnen das Feedback zur Verfügung zu stellen. Durch die Nutzung der nativen Integrationen für Entwicklertools in Cortex Cloud und der Erweiterbarkeit unserer CLI-Tools ist SCA vollständig in Entwicklungsabläufe eingebunden und hilft, Sicherheitslücken zur richtigen Zeit am richtigen Ort aufzudecken:

  • Integration von Open-Source-Sicherheit in Entwicklungstools und Arbeitsabläufe

    In Echtzeit über IDEs und Pull/Merge-Anfragen in VCS bereitgestelltes Feedback zu Schwachstellen ermöglicht Entwicklern die bedenkenlose Integration neuer Pakete in ihre Codebasis.

  • Erstellung und Durchsetzung maßgeschneiderter Richtlinien während des gesamten Lebenszyklus

    Durch die Integration des Schwachstellenmanagements werden Repositorys, Registrys, CI/CD-Pipelines und Laufzeitumgebungen konsequent geprüft, sodass Software entsprechend gesperrt oder zugelassen werden kann.

  • Fehlerbehebung ohne Sorge vor Breaking Changes

    Sie können bei der Behebung von Sicherheitslücken in direkten und transitiven Abhängigkeiten Empfehlungen zum minimal notwendigen Update erhalten, um die Beeinträchtigung kritischer Funktionen zu vermeiden. Außerdem lassen sich mehrere Fehler gleichzeitig beheben und dabei einzelne Versionen für jedes Paket auswählen.

  • Erstellung von Softwarestücklisten

    Cortex Cloud identifiziert Abhängigkeiten in Repositorys und erstellt Stücklisten für Software (Software Bill of Materials, SBOM) und Infrastruktur (Infrastructure Bill of Materials, IBOM), die in gängigen Formaten exportiert werden können.

Fully integrated with flexible fixes

Compliance mit der OSS-Lizenz

Warten Sie nicht so lange, bis bei einer manuellen Complianceprüfung festgestellt wird, dass eine Open-Source-Bibliothek Ihre Anforderungen hinsichtlich der Lizenznutzung nicht erfüllt. Cortex Cloud listet Open-Source-Lizenzen für Abhängigkeiten auf und kann Bereitstellungen anhand von benutzerdefinierten Richtlinien melden oder blockieren:

  • Vermeidung kostspieliger Verstöße gegen Open-Source-Lizenzen

    Sie können Feedback schon früh im Entwicklungszyklus anzeigen und Builds bei Verstößen gegen Open-Source-Paketlizenzen blockieren lassen. Es werden alle gängigen Sprachen und Paketverwaltungssysteme unterstützt.

  • Standardrichtlinien auf der Grundlage branchenüblicher Nutzung

    Vorkonfigurierte Richtlinien bieten gewichtete Schweregrade für gängige Lizenztypen und ermöglichen den Musterabgleich für nicht standardmäßige Lizenzsprache zur Vereinfachung der Erkennung akzeptabler Nutzung.

  • Erstellung maßgeschneiderter Richtlinien zur Durchsetzung interner Complianceanforderungen

    Definieren Sie nach Lizenztyp kategorisierte Regeln, die Ihre internen Anforderungen für Copyleft und freizügige Lizenzen (Premissive Licenses) erfüllen. Durch Integrationen in DevOps-Tools können Unternehmen Richtlinienverstöße früh verhindern und so spätere Probleme durch Lizenzverstöße vermeiden.

OSS license compliance

Weitere Funktionen in Application Security

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

MANAGEMENT DES ANWENDUNGSSICHERHEITSNIVEAUS

Verhindern Sie, dass riskanter Code in die Produktion überführt wird, und beheben Sie Probleme rasch im Quellcode.

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Stärken Sie Ihre CI/CD-Pipelines, reduzieren Sie Ihre Angriffsfläche und schützen Sie Ihre Anwendungsentwicklungsumgebung.

Mehr dazu

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Mehr dazu

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen