Búsqueda

Análisis de composición de software

Aborde de forma proactiva las vulnerabilidades del código abierto y los problemas de cumplimiento de licencias con integraciones de desarrolladores y priorización según el contexto.
Solicitar una prueba gratuita
Host Security Hero Front Image
Host Security Hero Back Image

A medida que las vulnerabilidades se vuelven más omnipresentes y escurridizas, las organizaciones necesitan una forma más rápida, sencilla y fluida de abordar los riesgos del código abierto. La línea difusa entre la infraestructura nativa de la nube y las capas de aplicación presenta una oportunidad para proteger el código en el origen, integrado en las herramientas de DevOps. Al adoptar un enfoque conectado de la seguridad y el cumplimiento del código abierto, las organizaciones pueden minimizar los falsos positivos, priorizar los hallazgos y mantener la seguridad del código más rápidamente.

Lea acerca de la investigación de Unit 42 sobre vulnerabilidades en el código fuente abierto.

Descargar el informe
1

Las aplicaciones nativas de la nube dependen del código abierto

El software de código abierto es un componente muy importante de las aplicaciones nativas de la nube ya que ofrece a los desarrolladores una ventaja a la hora de crear nuevas funciones sin tener que reinventar la rueda. Sin embargo, a pesar de todos sus beneficios, el software de código abierto de terceros plantea riesgos de seguridad y cumplimiento que deben abordarse como parte de cualquier programa de seguridad nativo de la nube.
2

La proliferación de dependencias genera riesgos

El software de código abierto comprende muchas capas de dependencias de paquetes, lo que dificulta saber dónde y cómo se utilizan las partes del software de código abierto (OSS) en toda la pila de aplicaciones. Además, las vulnerabilidades suelen estar alojadas en paquetes transitivos. El seguimiento de esas vulnerabilidades y licencias requiere un enfoque continuo e integrado.
3

Las herramientas de seguridad aisladas provocan brechas en la cobertura

Sin el contexto completo de la infraestructura de una aplicación, es difícil determinar si una vulnerabilidad identificada está realmente expuesta dentro de la aplicación o si presenta un riesgo bajo. Al conectar los hallazgos de seguridad de la aplicación y la infraestructura, las vulnerabilidades salen a la luz en el contexto de todo el código base, lo que permite una mejor priorización y correcciones más rápidas.

Prisma Cloud facilita a los desarrolladores la eliminación de riesgos de código abierto sin reducir la velocidad.

Al integrarse en las herramientas de DevOps y en las etapas de código, compilación, implementación y tiempo de ejecución, Prisma Cloud analiza proactivamente los paquetes de código abierto en busca de vulnerabilidades y problemas de cumplimiento de licencias. El modelo de datos de Prisma Cloud que conecta la infraestructura a nivel de código y los puntos débiles de las aplicaciones, la completa extrapolación de dependencias y las correcciones granulares de baches de versiones lo diferencian de otras soluciones de SCA.
  • Visión única de los riesgos conectados de la infraestructura y la aplicación
  • Integración en herramientas y flujos de trabajo de desarrolladores
  • Seguridad del ciclo de vida completo para paquetes e imágenes de contenedores
  • Integrado en fuentes de confianza
    Integrado en fuentes de confianza
  • Integraciones fáciles para los desarrolladores
    Integraciones fáciles para los desarrolladores
  • Escaneo ilimitado del árbol de dependencias
    Escaneo ilimitado del árbol de dependencias
  • Corrección de baches de versiones
    Corrección de baches de versiones
  • Análisis de licencias e informes de auditoría
    Análisis de licencias e informes de auditoría
  • Reglas de aplicación personalizadas
    Reglas de aplicación personalizadas
LA SOLUCIÓN PRISMA CLOUD

Un enfoque de análisis de composición de software que prioriza a los desarrolladores y es compatible con el contexto

Muy preciso y compatible con el contexto

Desarrollado sobre bases de datos de vulnerabilidades de confianza y conectado a la base de datos de políticas de infraestructura más sólida del sector, el Análisis de composición de software (SCA) de Prisma Cloud saca a la superficie las vulnerabilidades con el contexto que los desarrolladores necesitan para entender el riesgo e implementar correcciones rápidamente. Prisma Cloud proporciona la amplitud y profundidad de la cobertura de código abierto que necesita para detener la próxima vulnerabilidad importante en su camino:

  • Escanee lenguajes y gestores de paquetes con una precisión inigualable

    Identifique vulnerabilidades en paquetes de código abierto con soporte para todos los lenguajes más populares y más de 30 fuentes de datos ascendentes para minimizar los falsos positivos.

  • Aproveche las fuentes líderes del sector para una confianza total en la seguridad del código abierto

    Prisma Cloud escanea las dependencias de código abierto dondequiera que se encuentren y las compara con bases de datos públicas como NVD y Prisma Cloud Intelligence Stream para identificar vulnerabilidades y sacar a la superficie información importante sobre correcciones.

  • Conecte los riesgos de la infraestructura y la aplicación

    Limite las vulnerabilidades que están realmente expuestas dentro de su código base para combatir los falsos positivos y priorizar las correcciones con mayor rapidez.

  • Identifique vulnerabilidades en cualquier profundidad de dependencia

    Prisma Cloud ingiere datos de los gestores de paquetes para extrapolar árboles de dependencias hasta la capa más lejana e identificar riesgos de código abierto ocultos a la vista.

  • Visualice y catalogue su cadena de suministro de software

    El gráfico de la cadena de suministro proporciona un inventario consolidado de sus canales y su código. Gracias a una visualización de todas estas conexiones, así como a la capacidad de generar una lista de materiales de software (SBOM), es más fácil realizar un seguimiento del riesgo de las aplicaciones y comprender su superficie de ataque.

Muy preciso y compatible con el contexto

Totalmente integrado con correcciones flexibles

Solo los desarrolladores tienen el contexto completo de cómo y dónde se utilizan las bibliotecas de código abierto, por lo que permitirles acceder a los comentarios es la mejor manera de conseguir que las vulnerabilidades se corrijan. El SCA, que aprovecha las integraciones de herramientas nativas de desarrolladores de Prisma Cloud y la extensibilidad de nuestras herramientas de la interfaz de la línea de comandos (CLI), está totalmente integrado en los flujos de trabajo de los desarrolladores para que las vulnerabilidades salgan a la luz en el lugar correcto y en el momento adecuado:

  • Integre la seguridad de código abierto en las herramientas y los flujos de trabajo de los desarrolladores

    Proporcione a los desarrolladores la confianza necesaria para integrar nuevos paquetes en sus códigos base con comentarios sobre vulnerabilidades en tiempo real a través de IDE y solicitudes de validación/fusión de VCS.

  • Cree y aplique políticas personalizadas durante todo el ciclo de vida

    Integre la gestión de vulnerabilidades para escanear repositorios, registros, canales de CI/CD y entornos en tiempo de ejecución y determinar qué software está bloqueado o permitido.

  • Solucione los problemas sin introducir cambios trascendentales

    Obtenga la actualización más pequeña recomendada para solucionar vulnerabilidades en dependencias directas y transitivas sin riesgo de interrumpir funciones críticas. Solucione varios problemas a la vez con la flexibilidad de seleccionar versiones granulares por paquete.

  • Elabore una lista de materiales de software

    Prisma Cloud localizará las dependencias en los repositorios y elaborará una lista de materiales de software (SBOM) y una lista de materiales de infraestructura (IBOM), que exportará en los formatos estándares.

Totalmente integrado con correcciones flexibles

Parte de la CNAPP

La única manera de garantizar una cobertura completa al proteger aplicaciones nativas de la nube es buscar vulnerabilidades en cada capa y paso del ciclo de vida de desarrollo. El SCA es solo un componente de la plataforma de protección de aplicaciones nativas de la nube de Prisma Cloud que identifica el riesgo desde el código hasta la nube.

  • Identifique los riesgos en el código a medida que los desarrolladores crean y prueban el software

    Compruebe los paquetes e imágenes de código abierto en busca de vulnerabilidades y problemas de cumplimiento en repositorios como GitHub y registros como Docker, Quay, Artifactory y otros.

  • Bloquee las implementaciones en imágenes verificadas

    Aproveche el escaneo de imágenes de Prisma Cloud y el análisis de sandbox de contenedores para identificar y bloquear imágenes maliciosas y solo permitir que las imágenes seguras lleguen a producción.

  • Evite la actividad en cualquier entorno de tiempo de ejecución

    Gestione las políticas de tiempo de ejecución desde una consola centralizada para garantizar que la seguridad esté siempre presente como parte de cada implementación. La asignación de incidentes al marco MITRE ATT&CK, junto con un análisis forense detallado y una gran cantidad de metadatos, ayuda a los equipos del SOC a realizar un seguimiento de las amenazas para cargas de trabajo efímeras nativas de la nube.

  • Seguridad en tiempo de ejecución compatible con el contexto

    Detecte y evite los errores de configuración y las vulnerabilidades que provocan vulneraciones de datos e infracciones de cumplimiento en tiempo de ejecución con un inventario completo de activos en la nube, evaluaciones de configuración, correcciones automatizadas, etc.

Parte de la CNAPP

Cumplimiento de licencias de OSS

No espere hasta una revisión manual de cumplimiento para descubrir que una biblioteca de código abierto no cumple con sus requisitos de uso de licencias. Prisma Cloud cataloga las licencias de código abierto para las dependencias y puede alertar o bloquear implementaciones en función de políticas de licencia personalizables:

  • Evite costosas infracciones de licencias de código abierto

    Obtenga comentarios en una fase temprana y bloquee compilaciones en función de infracciones de licencias de paquetes de código abierto con soporte para todos los lenguajes y gestores de paquetes populares.

  • Aproveche las políticas predeterminadas basadas en el uso estándar del sector

    Las políticas listas para usar vienen con niveles de gravedad según la opinión de los usuarios para los tipos de licencia comunes y coincidencia de patrones para el lenguaje de tipo de licencia no estándar a fin de simplificar la determinación del uso aceptable.

  • Cree políticas personalizadas para aplicar los requisitos de cumplimiento internos

    Establezca reglas en función del tipo de licencia para cumplir los requisitos internos de licencias “copyleft” y licencias permisivas. Al bloquear las infracciones de políticas en una fase temprana mediante la integración de herramientas de DevOps, las organizaciones evitan las complicaciones derivadas del incumplimiento de las licencias.

Cumplimiento de licencias de OSS

Módulos de seguridad de código

SEGURIDAD DE LA INFRAESTRUCTURA COMO CÓDIGO

Seguridad de la IaC automatizada integrada en los flujos de trabajo de los desarrolladores

Más información

ANÁLISIS DE COMPOSICIÓN DE SOFTWARE (SCA)

Seguridad del código abierto compatible con el contexto y cumplimiento de licencias

Más información

SEGURIDAD DE LA CADENA DE SUMINISTRO DE SOFTWARE

Protección integral de componentes y canales de software

Más información

SEGURIDAD DE SECRETOS

Escaneo multidimensional y completo de secretos en repositorios y canales.

Más información
RECURSOS DESTACADOS

Obtenga más información sobre lo que la Prisma Cloud puede hacer por su empresa

Ver todos los recursos
Ficha técnica

Análisis de composición de software

Descargar
VIDEO

¿Qué es el análisis de composición de software (SCA)?

Ver ahora
Informe técnico

Lista de verificación del análisis de composición de software

Descargar
BLOG

Por qué necesita un cumplimiento proactivo de licencias de código abierto

Leer el blog
SEMINARIO WEB A PETICIÓN

Análisis en profundidad del producto: SCA

Ver ahora
Ficha técnica

Seguridad de código

Descargar

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

EMPRESA

AVISOS LEGALES

CUENTA

Copyright © 2024 Palo Alto Networks. Todos los derechos reservados.