Análisis de composición de software

Aborde de forma proactiva las vulnerabilidades del código abierto y los problemas de cumplimiento de licencias con integraciones de desarrolladores y priorización según el contexto.
Host Security Hero Front Image
Host Security Hero Back Image

A medida que las vulnerabilidades se vuelven más omnipresentes y escurridizas, las organizaciones necesitan una forma más rápida, sencilla y fluida de abordar los riesgos del código abierto. La línea difusa entre la infraestructura nativa de la nube y las capas de aplicación presenta una oportunidad para proteger el código en el origen, integrado en las herramientas de DevOps. Al adoptar un enfoque conectado de la seguridad y el cumplimiento del código abierto, las organizaciones pueden minimizar los falsos positivos, priorizar los hallazgos y mantener la seguridad del código más rápidamente.

Lea acerca de la investigación de Unit 42® sobre vulnerabilidades en el código fuente abierto.

Prisma Cloud facilita a los desarrolladores la eliminación de riesgos de código abierto sin reducir la velocidad.

Al integrarse en las herramientas de DevOps y en las etapas de código, compilación, implementación y tiempo de ejecución, Prisma Cloud analiza proactivamente los paquetes de código abierto en busca de vulnerabilidades y problemas de cumplimiento de licencias. El modelo de datos de Prisma Cloud que conecta la infraestructura a nivel de código y los puntos débiles de las aplicaciones, la completa extrapolación de dependencias y las correcciones granulares de baches de versiones lo diferencian de otras soluciones de SCA.
  • Visión única de los riesgos conectados de la infraestructura y la aplicación
  • Integración en herramientas y flujos de trabajo de desarrolladores
  • Seguridad del ciclo de vida completo para paquetes e imágenes de contenedores
  • Integrado en fuentes de confianza
    Integrado en fuentes de confianza
  • Integraciones fáciles para los desarrolladores
    Integraciones fáciles para los desarrolladores
  • Escaneo ilimitado del árbol de dependencias
    Escaneo ilimitado del árbol de dependencias
  • Corrección de baches de versiones
    Corrección de baches de versiones
  • Análisis de licencias e informes de auditoría
    Análisis de licencias e informes de auditoría
  • Reglas de aplicación personalizadas
    Reglas de aplicación personalizadas

LA SOLUCIÓN PRISMA CLOUD

Un enfoque de análisis de composición de software que prioriza a los desarrolladores y es compatible con el contexto

Muy preciso y compatible con el contexto

Desarrollado sobre bases de datos de vulnerabilidades de confianza y conectado a la base de datos de políticas de infraestructura más sólida del sector, el Análisis de composición de software (SCA) de Prisma Cloud saca a la superficie las vulnerabilidades con el contexto que los desarrolladores necesitan para entender el riesgo e implementar correcciones rápidamente. Prisma Cloud proporciona la amplitud y profundidad de la cobertura de código abierto que necesita para detener la próxima vulnerabilidad importante en su camino:

  • Escanee lenguajes y gestores de paquetes con una precisión inigualable

    Identifique vulnerabilidades en paquetes de código abierto con soporte para todos los lenguajes más populares y más de 30 fuentes de datos ascendentes para minimizar los falsos positivos.

  • Aproveche las fuentes líderes del sector para una confianza total en la seguridad del código abierto

    Prisma Cloud escanea las dependencias de código abierto dondequiera que se encuentren y las compara con bases de datos públicas como NVD y Prisma Cloud Intelligence Stream para identificar vulnerabilidades y sacar a la superficie información importante sobre correcciones.

  • Conecte los riesgos de la infraestructura y la aplicación

    Limite las vulnerabilidades que están realmente expuestas dentro de su código base para combatir los falsos positivos y priorizar las correcciones con mayor rapidez.

  • Identifique vulnerabilidades en cualquier profundidad de dependencia

    Prisma Cloud ingiere datos de los gestores de paquetes para extrapolar árboles de dependencias hasta la capa más lejana e identificar riesgos de código abierto ocultos a la vista.

  • Visualice y catalogue su cadena de suministro de software

    El gráfico de la cadena de suministro proporciona un inventario consolidado de sus canales y su código. Gracias a una visualización de todas estas conexiones, así como a la capacidad de generar una lista de materiales de software (SBOM), es más fácil realizar un seguimiento del riesgo de las aplicaciones y comprender su superficie de ataque.

Muy preciso y compatible con el contexto

Totalmente integrado con correcciones flexibles

Solo los desarrolladores tienen el contexto completo de cómo y dónde se utilizan las bibliotecas de código abierto, por lo que permitirles acceder a los comentarios es la mejor manera de conseguir que las vulnerabilidades se corrijan. El SCA, que aprovecha las integraciones de herramientas nativas de desarrolladores de Prisma Cloud y la extensibilidad de nuestras herramientas de la interfaz de la línea de comandos (CLI), está totalmente integrado en los flujos de trabajo de los desarrolladores para que las vulnerabilidades salgan a la luz en el lugar correcto y en el momento adecuado:

  • Integre la seguridad de código abierto en las herramientas y los flujos de trabajo de los desarrolladores

    Proporcione a los desarrolladores la confianza necesaria para integrar nuevos paquetes en sus códigos base con comentarios sobre vulnerabilidades en tiempo real a través de IDE y solicitudes de validación/fusión de VCS.

  • Cree y aplique políticas personalizadas durante todo el ciclo de vida

    Integre la gestión de vulnerabilidades para escanear repositorios, registros, canales de CI/CD y entornos en tiempo de ejecución y determinar qué software está bloqueado o permitido.

  • Solucione los problemas sin introducir cambios trascendentales

    Obtenga la actualización más pequeña recomendada para solucionar vulnerabilidades en dependencias directas y transitivas sin riesgo de interrumpir funciones críticas. Solucione varios problemas a la vez con la flexibilidad de seleccionar versiones granulares por paquete.

  • Elabore una lista de materiales de software

    Prisma Cloud localizará las dependencias en los repositorios y elaborará una lista de materiales de software (SBOM) y una lista de materiales de infraestructura (IBOM), que exportará en los formatos estándares.

Totalmente integrado con correcciones flexibles

Parte de la CNAPP

La única manera de garantizar una cobertura completa al proteger aplicaciones nativas de la nube es buscar vulnerabilidades en cada capa y paso del ciclo de vida de desarrollo. El SCA es solo un componente de la plataforma de protección de aplicaciones nativas de la nube de Prisma Cloud que identifica el riesgo desde el código hasta la nube.

  • Identifique los riesgos en el código a medida que los desarrolladores crean y prueban el software

    Compruebe los paquetes e imágenes de código abierto en busca de vulnerabilidades y problemas de cumplimiento en repositorios como GitHub y registros como Docker, Quay, Artifactory y otros.

  • Bloquee las implementaciones en imágenes verificadas

    Aproveche el escaneo de imágenes de Prisma Cloud y el análisis de sandbox de contenedores para identificar y bloquear imágenes maliciosas y solo permitir que las imágenes seguras lleguen a producción.

  • Evite la actividad en cualquier entorno de tiempo de ejecución

    Gestione las políticas de tiempo de ejecución desde una consola centralizada para garantizar que la seguridad esté siempre presente como parte de cada implementación. La asignación de incidentes al marco MITRE ATT&CK, junto con un análisis forense detallado y una gran cantidad de metadatos, ayuda a los equipos del SOC a realizar un seguimiento de las amenazas para cargas de trabajo efímeras nativas de la nube.

  • Seguridad en tiempo de ejecución compatible con el contexto

    Detecte y evite los errores de configuración y las vulnerabilidades que provocan vulneraciones de datos e infracciones de cumplimiento en tiempo de ejecución con un inventario completo de activos en la nube, evaluaciones de configuración, correcciones automatizadas, etc.

Parte de la CNAPP

Cumplimiento de licencias de OSS

No espere hasta una revisión manual de cumplimiento para descubrir que una biblioteca de código abierto no cumple con sus requisitos de uso de licencias. Prisma Cloud cataloga las licencias de código abierto para las dependencias y puede alertar o bloquear implementaciones en función de políticas de licencia personalizables:

  • Evite costosas infracciones de licencias de código abierto

    Obtenga comentarios en una fase temprana y bloquee compilaciones en función de infracciones de licencias de paquetes de código abierto con soporte para todos los lenguajes y gestores de paquetes populares.

  • Aproveche las políticas predeterminadas basadas en el uso estándar del sector

    Las políticas listas para usar vienen con niveles de gravedad según la opinión de los usuarios para los tipos de licencia comunes y coincidencia de patrones para el lenguaje de tipo de licencia no estándar a fin de simplificar la determinación del uso aceptable.

  • Cree políticas personalizadas para aplicar los requisitos de cumplimiento internos

    Establezca reglas en función del tipo de licencia para cumplir los requisitos internos de licencias “copyleft” y licencias permisivas. Al bloquear las infracciones de políticas en una fase temprana mediante la integración de herramientas de DevOps, las organizaciones evitan las complicaciones derivadas del incumplimiento de las licencias.

Cumplimiento de licencias de OSS

Módulos de seguridad de código

SEGURIDAD DE LA INFRAESTRUCTURA COMO CÓDIGO

Seguridad de la IaC automatizada integrada en los flujos de trabajo de los desarrolladores

ANÁLISIS DE COMPOSICIÓN DE SOFTWARE (SCA)

Seguridad del código abierto compatible con el contexto y cumplimiento de licencias

SEGURIDAD DE LA CADENA DE SUMINISTRO DE SOFTWARE

Protección integral de componentes y canales de software

SEGURIDAD DE SECRETOS

Escaneo multidimensional y completo de secretos en repositorios y canales.

RECURSOS DESTACADOS

Obtenga más información sobre lo que la Prisma Cloud puede hacer por su empresa