代码安全性

Prisma®Cloud 为云原生基础架构和应用提供自动化安全性,并与开发者工具集成
Code Security Front
Code Security Back

云原生应用开发节奏快且复杂。对于安全团队来说,要跟上进度可能是一种挑战。然而,一些 DevOps 最佳实践提供了使用自动化技术来保护从代码到云的应用和基础架构安全的机会,从而减轻了这种压力。

阅读 Unit 42 关于基础架构即代码安全状态的最新研究

在所有现代架构和软件供应链中保护代码的单一工具。

Prisma Cloud 在整个软件开发周期中嵌入了全面的安全性。该平台可在开发生命周期的早期识别漏洞、错误配置、违规行为和暴露的机密内容。通过对 IaC 模板、容器映像、开源数据包和交付管道的扫描支持,Prisma Cloud 提供了由开源社区和多年专业知识及威胁研究支持的代码安全性。通过关联的可视性和策略控制,工程团队可以在不离开工具的情况下保护整个堆栈,而安全团队可以确保部署的所有代码都是安全的。
  • 支持多种语言、运行时和框架
  • 从构建时到运行时的一致控制
  • 嵌入在 DevOps 工具中
  • 基础架构即代码扫描
    基础架构即代码扫描
  • 容器映像扫描
    容器映像扫描
  • 策略即代码
    策略即代码
  • 供应链安全
    供应链安全
  • 机密安全
    机密安全
  • 软件构成分析
    软件构成分析
  • OSS 许可证合规性
    OSS 许可证合规性

Prisma Cloud 解决方案

我们的代码安全方法

基础架构即代码扫描

“基础架构即代码”提供了一个在云基础设施部署到生产环境之前用代码保护云基础设施的机会。Prisma Cloud 使用自动化,并通过将安全方案嵌入用于 Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless 和 ARM 模板的 DevOps 工具中的工作流,在整个软件开发生命周期中优化安全性。

  • 自动执行代码中的云安全扫描

    在软件开发生命周期的每一步添加对错误配置和暴露机密内容的自动检查。

  • 利用开源和社区的力量

    Checkov 是领先的开源策略即代码工具,为 Prisma Cloud 基础架构即代码安全提供动力,由一个活跃社区提供支持,下载量已达数百万次。

  • 在开发人员工具中直接嵌入代码安全反馈

    Prisma Cloud 为 IDE、VCS 和 CI/CD 工具提供了原生集成,以帮助开发人员在现有工作流程中保护代码。

  • 包括错误配置的深入情境

    Prisma Cloud 自动跟踪 IaC 资源的依赖项以及最新的开发人员修饰符,以改进大型团队中的协作。

  • 在代码中提供自动反馈和修复

    自动获取错误配置的请求评论以及自动提取请求,并对已识别的错误配置提交修复和智能修复。

基础架构即代码扫描

容器映像扫描

容器镜像是云原生应用的关键组件。但是,它们通常包括许多开发人员无法控制的资源,例如操作系统和配置。Prisma Cloud 支持安全团队实施防护措施,以阻止容器映像中的漏洞、违反合规性的行为以及暴露的机密内容。

  • 发现容器镜像中的漏洞

    使用 twistcli 可识别内置于容器镜像层中的操作系统和开源程序包中的漏洞。

  • 提供修复状态和修复指导

    向开发人员提供修复程序状态、要修正的最低版本以及自修复程序发布以来经过的时间,以确定更新包的优先级。

  • 按严重性级别发出漏洞警报或阻止漏洞

    添加护栏以阻止存在不符合严重性级别要求的漏洞的镜像,然后再将其推向生产。

  • 在代码上实现容器合规性

    检查您的容器镜像依赖项和配置是否违反流行的基准(如 CIS)和专有问题(如构建时的恶意软件)。

  • 确保对容器镜像的信任

    通过构建时扫描强化映像,显示容器中暴露的机密内容,并利用可信的注册表实现安全的容器映像供应链。

  • 跨软件开发生命周期集成

    在流行的 CI/CD 工具、VCS 和注册表中嵌入安全反馈和防护栏。

 容器映像扫描

策略即代码

传统的安全测试是由不同的企业使用不同的工具来执行的,这造成了孤立的、难以复制的控制。Prisma Cloud 具有策略即代码,以提供内置于代码中的控制,可以根据实时代码存储库对代码进行复制、版本控制和测试。

  • 使用代码构建和控制策略

    在 Python 和 YAML 中为 IaC 模板定义、测试和版本控制检查列表、跳过列表和基于图像的自定义策略。

  • 在代码中部署和配置帐户和代理

    使用 Terraform 载入帐户、部署代理和配置运行时策略,包括基于 OpenAPI 和 Swagger 文件的摄取和保护。

  • 针对错误配置利用开箱即用和自定义策略

    Prisma Cloud 开箱即用,带有数百个代码中内置的策略,并允许您为云资源和 IaC 模板添加自定义策略。

  • 直接就正在编写的代码提供反馈

    IaC 模板通过自动修复、拉取/合并请求注释及拉取/合并请求自动修复而具有直接反馈。

策略即代码

供应链安全

云原生软件供应链日益成为攻击目标,因为这些供应链让恶意攻击者能够访问代码和机密内容,他们利用这些代码和机密内容来注入恶意代码或渗透数据。Prisma Cloud 提供对供应链组件的可视性,以及版本控制系统 (VCS) 和 CI/CD 管道的状态。利用平台的图形可视化功能来了解攻击面,并按照最佳实践操作来保持管道安全。

  • 可视化供应链

    供应链图提供了供应链组件的清单和易于使用的可视化功能,有助于您了解和保护攻击面。

  • 按照最佳实践进行 VCS 配置

    自动管理版本控制系统 (VCS) 的状态,确保遵循安全性最佳实践,如分支机构保护。

  • 阻止映像感染攻击

    利用 Prisma Cloud 映像扫描和容器沙盒分析识别并阻止恶意映像,并且只允许经过审查的映像通过可信懒的映像进入您的部署。

  • 生成软件材料清单 (SBOM)

    生成包含开源数据包、资料库和 IaC 资源以及相关安全问题的 SBOM 报告,以跟踪和了解应用风险。

 供应链安全

机密安全

犯罪分子只需一分钟就可以找到并滥用暴露在网上的凭据。使用 Prisma Cloud 在生产前识别机密。使用签名和启发式方法,在开发环境中和构建时查找和删除 IaC 模板和容器映像中的机密。

  • 在几乎所有文件类型中查找机密内容

    将基础架构中的密码和令牌识别为代码模板、黄金镜像和 Git 存储库配置。

  • 在开发人员的工具中展示机密内容

    借助 IDE、CLI、预提交和 CI/CD 工具,尽早向开发人员展示代码中的硬编码机密内容。

  • 多维机密扫描

    使用正则表达式、关键字或经过微调的基于熵的标识符来定位常见和不常见的机密内容。

机密安全

软件构成分析

大多数现代应用代码都由开源依赖项组成。缺乏对于实际使用的依赖项的了解,以及对取得突破性变化的恐惧,导致漏洞无法修复。Prisma Cloud 与开发人员工具进行集成,以识别开源数据包及其完整依赖树中的漏洞,并支持灵活精细的漏洞修复。

  • 利用业界领先的资源,在开源安全方面获得十足的信心

    Prisma Cloud 可扫描任意位置的开源依赖项,并将其与 NVD 和 Prisma Cloud 情报流等公共数据库进行对比,以识别漏洞。

  • 识别任何依赖详情和上下文中的漏洞

    Prisma Cloud 可接收数据包管理程序中的数据,将依赖树外推至最远层,并连接基础架构和应用风险,以快速确定修复的优先级。

  • 在整个开发生命周期中集成开源安全性

    通过 IDE 和 VCS 向开发人员提供实时漏洞反馈获取/合并请求,并根据漏洞阈值阻止构建,以主动保护您的云原生环境安全。

  • 在不进行重大更改的情况下修复问题

    获取推荐的最少更新以修复直接和可传递依赖项中的漏洞,而不会有破坏关键功能的风险。通过为每个数据包选择精细版本的灵活性,一次修复多个问题。

软件构成分析

OSS 许可证合规性

每个公司都有自己可接受的开源许可证使用策略。不要等到手动合规性审查后才发现开源代码库不符合您的需求。Prisma Cloud 为依赖项的开源许可证进行编目,并根据可定制的许可证策略发出警报或阻止部署。

  • 避免代价高昂的开源许可证违规

    尽早提供反馈并阻止基于开源数据包许可证违规的构建行为,为所有常用语言和数据包管理程序提供支持。

  • 扫描 git 和非 git 存储库是否存在问题

    Prisma Cloud 与 GitHub 和 Bitbucket 等版本控制系统进行了原生集成,但可以使用我们的命令行工具扫描任何存储库类型。

  • 使用默认规则或自定义警报和阻止

    按许可证类型设置警报和阻止阈值,以匹配非盈利版权和允许的许可证的内部要求。

 OSS 许可证合规性

代码安全模块

基础架构即代码安全

嵌入到开发人员工作流程中的自动化 IaC 安全性

软件构成分析 (SCA)

高度准确和情境感知的开源安全性和许可证合规性

软件供应链安全

软件组件和管道的端到端保护

机密安全

存储库和管道中的全栈、多维机密内容扫描。

特色资源

重要的代码安全文档