软件供应链安全

通过对软件组件和交付管道的完全可视性和策略实施来保护您的软件供应链。

申请免费试用

云原生开发依靠软件供应链来提高开发人员的工作效率，并缩短新功能的平均上市时间。但是软件供应链带来了独特的风险和复杂性，因为它们将第三方软件和工具整合到开发人员工作流程中。安全团队必须主动设置防护措施来保护软件供应链免受威胁，并确保这些措施不会损害开发人员的敏捷性。

查看 Unit 42 关于软件供应链风险的最新研究。

下载报告

不安全的第三方组件是导致攻击的主要原因

基础机构即代码 (IaC) 模板、数据包和容器映像等第三方开源组件有助于显著提高开发人员的工作效率，但容易出现漏洞，并且默认情况下不安全。

如果无法持续主动地了解漏洞和错误配置，开发人员很可能在他们的应用中使用不安全的组件，导致系统发出嘈杂的警报并出现运行时漏洞，攻击者可以利用这些漏洞发起软件供应链攻击。

薄弱的管道会为攻击者提供可乘之机

VCS 存储库和 CI/CD 管道可支持云原生团队最大限度地提高发布速度。但是在默认情况下可以使用 VCS 配置和 CI/CD 工作流程，并且缺乏对意外推送、代码注入或感染攻击的保护。弱配置可允许攻击者获取专有代码和任务关键型系统的访问权限。借助特权访问，攻击者可以泄漏数据、注入恶意代码或使用其他弱软件组件进行转移。

如果没有自动化的供应链覆盖，企业很难确保所有存储库、注册表和管道都被锁定。

跟踪从代码到云的所有资产是一项挑战

云原生软件供应链是不断变化的互联系统，很难对整个供应链有全面的了解。单点解决方案无法提供无缝的从代码到云覆盖，这是在整个开发生命周期中跟踪资源、数据包、漏洞和错误配置的必备条件。

如果没有云原生堆栈和开发生命周期的情境感知覆盖，就很难根据暴露和实际风险来确定安全问题的优先级。

保护第三方组件和交付管道

Prisma Cloud 可帮助企业了解其软件供应链的每个组件（从代码到资源再到交付管道），并能够持续实施安全配置。将 Prisma Cloud 值得信赖的行业领先数据源与原生开发人员集成搭配使用，可轻松管理和降低所有第三方供应链风险：

了解软件组件和交付管道的风险。
集成到开发人员工具和工作流程中。
行业最佳的错误配置和漏洞扫描引擎。

Prisma Cloud 解决方案

我们的供应链安全方案

整合的供应链覆盖和可视性

借助 Prisma Cloud 的供应链图，企业可以可视化其供应链的每个组件，并了解所有相关风险。Prisma Cloud 的供应链图将企业的所有代码和管道组件清点到可视化视图中，并通过安全态势数据的叠加进行增强，以提供企业的应用和基础架构资产依赖关系的完整信息。利用这些分析数据，企业可以确定其供应链中风险的优先级，并更有效地部署资源来修复最有可能被利用的问题。

软件供应链可视性和编目
供应链图提供了企业的交付管道和代码组件的合并清单。通过可视化所有关联，企业可获得其供应链攻击面急需的可视性。然后，企业可以根据这些发现采取行动，例如利用 Prisma Cloud 的批量获取请求修复功能。此功能可帮助企业创建单个获取请求，该请求将一次性对许多违规行为应用自动修复。
情境感知软件构成分析 (SCA)
Prisma Cloud 支持开源数据包扫描，具有无限依赖树扫描和精细版本碰撞修复。通过将漏洞发现与基础架构错误配置叠加，并添加至开发人员工具中，Prisma Cloud 的 SCA 让开发人员能够更快速地确定开源风险的优先级并进行修复。
行业领先的 IaC 安全
Prisma Cloud 由市面上最强大的开源策略即代码引擎 Checkov 提供支持，配备了数千种策略来帮助主动实施云安全最佳实践。Prisma Cloud 在开发生命周期的早期阶段就提出了云安全问题，并提供了代码修复功能，确保仅部署安全的基础架构代码。

了解更多

安全的存储库和注册表

为了支持云原生代码库不断增长的复杂性，企业严重依赖第三方系统来存储、管理代码并更新版本。GitHub、GitLab 或 Bitbucket 等版本控制系统 (VCS) 必须支持管理代码，因为其中包含专有代码和关键系统，所以安全性至关重要。DockerHub 等映像注册表对于存储和随时访问容器映像至关重要，但是如果没有适当的保护，也会引入漏洞或恶意映像。Prisma Cloud 配备了持续评估 VCS 组织设置的策略，以使其与 SLSA 和 CIS 基准定义的安全最佳实践保持同步。

自动扫描 VCS 组织设置
快速移动时很容易忽略 VCS 的组织设置，并假设所有代码贡献者都是安全的。Prisma Cloud 配备了确保持续实施 VCS 最佳实践（如单点登录 (SSO) 和双因素身份认证 (2FA) 的策略，以防止帐户被接管。
VCS 存储库设置扫描
为了加强 VCS 的安全性，Prisma Cloud 还帮助团队轻松实施分支机构保护规则，以防止恶意代码注入和其他未经授权或可疑的活动。通过持续扫描 VCS 存储库设置并维护一致应用的分支机构保护规则的策略，团队可以确保 VCS 存储库是安全的，并且只有在进行适当审查后才允许合并代码。
持续保证注册表和受信任映像的安全
容器注册表简化了容器映像的存储和交付，但具有独特的安全考虑因素，云原生团队必须解决这些问题，以避免映像入侵或部署不安全的映像。Prisma Cloud 可持续扫描并监控容器注册表，阻止易受攻击或不受信任的映像部署，同时还有助于团队设置精细的部署规则，以警告或阻止特定的漏洞和合规性问题。

安全的 CI/CD 管道

CI/CD 管道至关重要，因为云原生团队致力于维持发布速度。但是这些管道在默认情况下是不安全的，恶意攻击者经常利用 CI/CD 的漏洞来发起供应链攻击。Prisma Cloud 的策略库包括 CI/CD 最佳实践，因此企业可以利用这些管道支持的相同自动化功能来持续评估其管道安全性。

建立防护措施，阻止代码注入和入侵
借助 Prisma Cloud 的开箱即用 CI/CD 策略，企业可以自动创建和实施防护措施，例如阻止使用不安全的命令或测试功能。
寻找并移除硬编码机密内容
虽然最佳实践是不要将机密内容硬编码到 IaC 模板或 CI/CD 配置文件中，但当团队进展迅速时，有时会发生这种情况。借助 Prisma Cloud 的机密扫描，企业可以快速识别硬编码中的机密内容，并防止将这些机密暴露给公众。
自动执行最低权限原则
Prisma Cloud 通过策略即代码实现自动化 IAM 规模调整。通过持续扫描并审核现有 IAM 策略，Prisma Cloud 可删除未使用的权限，并调整过度许可的 CI/CD 主机环境访问权限。Prisma Cloud 还可帮助团队通过自动验证和部署安全代码来降低人为错误的可能性。

了解更多

统一的软件材料清单 (SBOM) 生成

SBOM 是企业的软件组件和所有相关安全问题的完整清单。但是，SBOM 的完整性取决于输入的数据，利用单点解决方案时，获得这种完整性需要手动删除重复内容并进行整合。Prisma Cloud 在应用和基础架构组件中提供单一 SBOM，这简化了云原生应用的 SBOM 生成流程，使企业能够轻松地与内部和外部客户共享库存和风险信息。

整合且灵活的导出
完整的 SBOM 包括所有 IaC 资源、开源软件包、映像组件、已知漏洞、错误配置和开源许可证。Prisma Cloud 将 SBOM 导出为标准化的报告格式，包括 CSV 和 CycloneDX。
满足 SBOM 供应商要求
包括美国政府在内的最终客户日益要求将 SBOM 作为诸多首要问题的解决方案。SBOM 主要用于维护采购流程中的供应商问责制，并确保在企业的持续风险评估期间考虑每个供应商的风险归因。
维护受信任的精准软件清单
通过对比部署前后生成的 SBOM，企业可以检测并修复篡改内容，以维持存储在 SBOM 中的信息的有效性和可靠性。