搜索

软件构成分析

通过开发人员集成和情境感知优先级，积极解决开源漏洞和许可证合规问题。

随着漏洞越来越普遍且难以捉摸，企业需要更快、更轻松和更无缝的方法来化解开源风险。云原生基础架构和应用层之间的模糊界限可嵌入到 DevOps 工具中，提供了在源头保护代码的机会。通过同时采用开源安全性和合规性，企业可以最大限度地减少误报，确定调查结果的优先级，并提升保护代码安全的速度。

开源软件是云原生应用的一个巨大组成部分，让开发人员在构建新功能时可以先行一步，而不必浪费时间做无用功。然而，尽管第三方开源软件有诸多好处，但也带来了安全和合规性风险，这些风险需要作为任何云原生安全计划的一部分加以解决。

开源软件中包含许多层数据包依赖关系，这导致了解开源软件在应用堆栈中的位置和使用方式具有重重挑战。此外，漏洞常常隐藏在可传递的数据包中。跟踪这些漏洞和许可证需要持续和集成的方法。

如果没有应用基础架构的完整情境，就很难确定已识别的漏洞是否在应用中暴露，或者是否存在低风险。通过将应用和基础架构安全发现联系起来，漏洞会在整个代码库的上下文中浮出水面，从而可以更好地确定优先级并更快地修复。

通过在代码、构建、部署和运行时集成到 DevOps 工具中，Prisma Cloud 可主动扫描开源数据包中的漏洞和许可证合规性问题。Prisma Cloud 的数据模型将代码级基础架构与应用漏洞相关联，完整的依赖性外推和精细的版本碰撞修复使其有别于其他 SCA 解决方案。

PRISMA CLOUD 解决方案

Prisma Cloud 软件构成分析 (SCA) 以最负盛名的漏洞数据库为基础进行构建，并连接到业界最强大的基础架构策略数据库，可以根据开发人员了解风险和快速实施修复所需的上下文来揭示漏洞。Prisma Cloud 可提供您需要的开源覆盖的广度和深度，从而避免出现下一个大漏洞：

以无与伦比的精确度扫描语言和数据包管理程序
识别支持所有最常见语言和 30 多种上游数据源的开源软件包中的漏洞，以最大限度地减少误报。
利用业界领先的资源，在开源安全方面获得十足的信心
Prisma Cloud 可扫描任意位置的开源依赖项，并将其与 NVD 和 Prisma Cloud 情报流等公共数据库进行对比，以识别漏洞并提供重要的修复信息。
关联基础架构和应用风险
缩小代码库中实际暴露的漏洞范围，以消除误报并加快确定修复优先级的速度。
识别任何依赖详情中的漏洞
Prisma Cloud 可获取数据包管理程序中的数据，将依赖树外推至最远层，以识别隐藏在视野之外的开源风险。
可视化软件供应链并为其编目
供应链图提供了管道和代码的合并清单。通过所有连接的可视性以及生成软件物料清单 (SBOM) 的功能，可以更轻松地跟踪应用风险并了解攻击面。

只有开发人员了解开源库的使用方式和使用位置的全部情境，因此，向他们提供反馈是修补漏洞的最佳方式。利用 Prisma Cloud 的原生开发人员工具集成和 CLI 工具的可扩展性，SCA 完全集成到开发人员工作流程中，因此，漏洞会在正确的时间出现在正确的位置：

将开源安全性集成到开发人员工具和工作流程中
通过 IDE 和 VCS 提取/合并请求提供实时漏洞反馈，让开发人员有信心将新的数据包集成到他们的代码库中。
在整个生命周期中创建并执行自定义策略
集成漏洞管理以扫描存储库、注册表、CI/CD 管道和运行时环境，并确定阻止或允许哪些软件。
在不进行重大更改的情况下修复问题
获取推荐的最少更新以修复直接和可传递依赖项中的漏洞，而不会有破坏关键功能的风险。通过为每个数据包选择精细版本的灵活性，一次修复多个问题。
建立软件物料清单
Prisma Cloud 将在存储库中定位依赖项并构建软件物料清单 (SBOM) 和基础架构物料清单 (IBOM)，并以标准格式导出。

在保护云原生应用时，确保完全覆盖的唯一方法是在开发生命周期的每一层和每一步扫描漏洞。SCA 只是 Prisma Cloud 的云原生应用保护平台的一个组件，该平台可以识别从代码到云的风险。

在开发人员构建和测试软件时识别代码中的风险
检查开源数据包和映像在 GitHub 等存储库和 Docker、Quay、Artifactory 等注册表中的漏洞和合规性问题。
将部署锁定到经过审查的镜像
利用 Prisma Cloud 映像扫描和容器沙盒分析识别并阻止恶意映像，并且只允许安全的映像进入生产流程。
阻止任何运行时环境中的活动
从集中控制台管理运行时策略，以确保安全性始终作为每个部署的一部分。通过将事件映射到 MITRE ATT&CK 框架，以及详细的取证和丰富的元数据，有助于 SOC 团队跟踪短暂云原生工作负载的威胁。
情境感知运行时安全
借助完整的云资产清单、配置评估、自动化修复等功能，在运行时检测和阻止导致数据泄露和合规性违规的错误配置和漏洞。

不要等到手动合规性审查后才发现开源代码库不符合您的许可证使用要求。Prisma Cloud 为依赖项的开源许可证进行编目，并根据可定制的许可证策略发出警报或阻止部署：

避免代价高昂的开源许可证违规
尽早提供反馈并阻止基于开源数据包许可证违规的构建行为，为所有常用语言和数据包管理程序提供支持。
利用基于标准行业用途的默认策略
开箱即用的策略为通用许可证类型提供了“顽固”的严重性级别，并为非标准许可证类型语言提供了模式匹配，以简化确定可接受用途的过程。
创建自定义策略以实施内部合规性要求
基于许可证类型设置规则，以匹配非盈利版权和准许许可证的内部要求。通过 DevOps 工具集成尽早阻止违反策略的行为，企业可避免日后处理许可证不合规问题时的麻烦。