DevSecOps

“基础架构即代码”提供了一个在云基础设施部署到生产环境之前用代码保护云基础设施的机会。Prisma Cloud 使用自动化，并通过将安全方案嵌入用于 Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless 和 ARM 模板的 DevOps 工具中的工作流，在整个软件开发生命周期中优化安全性。

• 自动化代码中的云错误配置检查

  在软件开发生命周期的每一步添加错误配置的自动检查。

• 利用开源和社区的力量

  Checkov 是一种开源工具，是 Bridgecrew 为支持构建时扫描而构建的，它有一个活跃社区的支持，已经被下载数百万次。

• 在开发者工具中嵌入错误配置检查

  Bridgecrew 为 IDE、VCS 和 CI/CD 工具提供了原生集成，以帮助开发人员在现有工作流中保护代码。

• 包括错误配置的深入情境

  Bridgecrew 自动跟踪 IaC 资源的依赖项以及最新的开发人员修饰符，以改进大型团队中的协作。

• 在代码中提供自动反馈和修复

  自动化错误配置的拉取请求注释，以及自动拉取请求，并提交已确定错误配置的修复。

传统的安全测试是由不同的企业使用不同的工具来执行的，这造成了孤立的、难以复制的控制。Prisma Cloud 具有策略即代码，以提供内置于代码中的控制，可以根据实时代码存储库对代码进行复制、版本控制和测试。

• 使用代码构建和控制策略

  在 Python 和 YAML 中为 IaC 模板定义、测试和版本控制检查列表、跳过列表和基于图像的自定义策略。

• 在代码中部署和配置帐户和代理

  使用 Terraform 载入帐户、部署代理和配置运行时策略，包括基于 OpenAPI 和 Swagger 文件的摄取和保护。

• 对错误配置利用开箱即用和自定义修复程序

  Prisma Cloud 开箱即有数百个代码中内置的自定义修复，并允许为云资源和 IaC 模板添加自定义修复。

• 直接就正在编写的代码提供反馈

  IaC 模板通过自动修复、拉取/合并请求注释及拉取/合并请求自动修复而具有直接反馈。

犯罪分子只需一分钟就可以找到并滥用暴露在网上的凭据。使用 Prisma Cloud 在生产前识别机密。使用签名和启发式方法，在开发环境中和构建时查找和删除 IaC 模板和容器映像中的机密。

• 寻找 IaC 模板中的机密

  在 IDE、CLI、预提交和 CI/CD 工具中识别 IaC 模板中的密码和令牌。

• 发现容器镜像中的机密

  在本地、注册表和 CI/CD 扫描中查找容器镜像中的硬编码机密。

• 使用多种方法识别机密

  使用正则表达式、关键字或基于熵的标识符来定位常见和不常见的机密，如 AWS 访问密钥和数据库密码。

每个公司都有自己可接受的开源许可证使用策略。不要等到手动合规性审查后才发现开放源代码库不符合要求。Prisma Cloud 为依赖项编目开源许可证，并可以基于可定制的策略发出警报或阻止存储库提交。

• 避免代价高昂的开源许可证违规

  基于 Node.js、Python、Java 和 Go 依赖项中的开源程序包许可证发出警报和阻止构建。

• 扫描 git 和非 git 存储库是否存在问题

  Prisma Cloud 具有与 GitHub 的原生集成，但可以使用 twistcli 扫描任何存储库类型。

• 使用默认规则或自定义警报和阻止

  按许可证类型设置警报和阻止阈值，以匹配非盈利版权和允许的许可证的内部要求。