O AI-SPM está disponível para todos os usuários do Prisma® Cloud, à medida que continuamos o lançamento do produto de proteção da IA por design    Vamos lá!

Análise de composição de software

Resolva as vulnerabilidades de código aberto e os problemas de conformidade de licença de forma proativa usando integrações de desenvolvedor e priorização sensível ao contexto.
Solicite uma avaliação gratuita
Host Security Hero Front Image
Host Security Hero Back Image

Como as vulnerabilidades estão se tornando cada vez mais difundidas e evasivas, as organizações precisam lidar com os riscos de código aberto de forma mais rápida, fácil e contínua. A linha tênue entre a infraestrutura nativa da nuvem e as camadas de aplicativos traz uma oportunidade de proteger o código na fonte, incorporado às ferramentas DevOps. Ao abordar a segurança e a conformidade de código aberto de forma conectada, as organizações podem reduzir a quantidade de falsos positivos, priorizar as descobertas e proteger o código mais rapidamente.

Leia a pesquisa da Unit 42® sobre vulnerabilidades no código-fonte aberto.

Baixar o relatório
1

Os aplicativos nativos de nuvem dependem do código aberto

O software de código aberto é um componente muito importante dos aplicativos nativos da nuvem, o que facilita para os desenvolvedores criar novos recursos. Mas, apesar de todas as vantagens, softwares de código aberto de terceiros apresentam riscos de segurança e conformidade que precisam ser tratados como parte de qualquer programa de segurança nativo da nuvem.
2

A expansão da dependência gera risco

Softwares de código aberto envolvem várias camadas de dependências de pacotes, o que dificulta saber onde e como as partes do OSS estão sendo usadas na pilha de aplicativos. Além do mais, as vulnerabilidades muitas vezes ficam ocultas em pacotes transitivos. Para acompanhar essas vulnerabilidades e licenças é preciso usar uma abordagem contínua e integrada.
3

Ferramentas de segurança isoladas provocam falhas de cobertura

Sem ter contexto completo da infraestrutura de um aplicativo, fica difícil determinar se uma vulnerabilidade identificada está mesmo exposta no aplicativo ou se é de baixo risco. Quando as descobertas da segurança dos aplicativos e da infraestrutura são conectadas, as vulnerabilidades aparecem no contexto de toda a base de código, permitindo priorizar e corrigir de forma mais rápida.

O Prisma Cloud facilita para os desenvolvedores eliminar os riscos de código aberto sem desacelerar o trabalho.

Quando se integra às ferramentas DevOps e ao código, construção, implantação e tempo de execução, o Prisma Cloud verifica proativamente os pacotes de código aberto em busca de vulnerabilidades e problemas de conformidade de licenças. O modelo de dados do Prisma Cloud se destaca de outras soluções SCA porque ele conecta a infraestrutura no nível de código e os pontos fracos do aplicativo, bem a extrapolação completa de dependências e as correções granulares de versão.
  • Visão única da infraestrutura conectada e dos riscos dos aplicativos
  • Integrado em fluxos de trabalho e ferramentas de desenvolvedor
  • Segurança de todo o ciclo de vida para pacotes e imagens de contêiner
  • Construído em fontes confiáveis
    Construído em fontes confiáveis
  • Integrações de fácil uso para desenvolvedores
    Integrações de fácil uso para desenvolvedores
  • Varredura ilimitada da árvore de dependências
    Varredura ilimitada da árvore de dependências
  • Correções de atualização de versão
    Correções de atualização de versão
  • Análise de licenças e emissão de relatórios de auditoria
    Análise de licenças e emissão de relatórios de auditoria
  • Aplicação de regras personalizadas
    Aplicação de regras personalizadas
A SOLUÇÃO DO PRISMA CLOUD

Uma abordagem com base em contexto e voltada ao desenvolvedor para análise de composição de software

Altamente preciso e com reconhecimento de contexto

Construído com alicerce nos bancos de dados de vulnerabilidade mais respeitáveis e conectado ao banco de dados de política de infraestrutura mais robusto da área, a Análise de composição de software (SCA) do Prisma Cloud revela vulnerabilidades com o contexto que os desenvolvedores precisam para entender o risco e corrigir rapidamente. O Prisma Cloud fornece a cobertura ampla e profundo para código aberto de que você precisa para impedir a próxima grande vulnerabilidade:

  • Faça varredura entre idiomas e gerenciadores de pacotes com precisão inigualável

    Identifique vulnerabilidades em pacotes de código aberto em todos os idiomas mais populares e mais de 30 fontes de dados upstream para reduzir os falsos positivos.

  • Aproveite as fontes líderes do setor para obter total confiança em segurança de código aberto

    O Prisma Cloud verifica as dependências de código aberto onde quer que estejam e as compara com bancos de dados públicos como o NVD e o Prisma Cloud Intelligence Stream para identificar vulnerabilidades e revelar informações importantes sobre correções.

  • Conecte os riscos à infraestrutura e aos aplicativos

    Limite as vulnerabilidades que estão expostas realmente em sua base de código para combater falsos positivos e priorizar correções mais rapidamente.

  • Identifique vulnerabilidades em qualquer profundidade de dependência

    O Prisma Cloud processa dados do gerenciador de pacotes para extrapolar árvores de dependência para a camada mais distante para identificar riscos de código aberto ocultos.

  • Veja e catalogue sua cadeia de suprimentos de software

    O Gráfico da Cadeia de suprimentos fornece um inventário consolidado de seus pipelines e código. A visão de todas essas conexões e a capacidade de emitir uma lista de materiais de software (SBOM) facilitam acompanhar o risco do aplicativo e entender a superfície de ataque.

Altamente preciso e com reconhecimento de contexto

Totalmente integrado com correções flexíveis

Somente os desenvolvedores conhecem o contexto inteiro de como e onde as bibliotecas de código aberto são usadas. Portanto, tornar o feedback acessível a eles é a melhor forma de corrigir as vulnerabilidades. O SCA, que usa as integrações de ferramentas de desenvolvedor nativas do Prisma Cloud e a extensibilidade de nossas ferramentas CLI, é totalmente integrado aos fluxos de trabalho do desenvolvedor, para que as vulnerabilidades surjam no lugar certo e na hora certa:

  • Integre a segurança de código aberto às ferramentas e aos fluxos de trabalho do desenvolvedor

    Dê aos desenvolvedores a confiança para integrar novos pacotes em suas bases de código com feedback de vulnerabilidade em tempo real através de IDEs e solicitações de pull/mesclagem de VCS.

  • Crie e aplique políticas personalizadas em todo o ciclo de vida

    Integre o gerenciamento de vulnerabilidades para fazer varredura de repositórios, registros, pipelines de CI/CD e ambientes de tempo de execução e determine qual software será bloqueado ou permitido.

  • Corrija problemas sem introduzir alterações de interrupção

    Obtenha a menor atualização recomendada para corrigir vulnerabilidades em dependências diretas e transitivas sem o risco de quebrar funções críticas. Corrija vários problemas de uma só vez com a flexibilidade de selecionar versões granulares por pacote.

  • Implante uma lista de materiais de software

    O Prisma Cloud localizará dependências em repositórios e criará uma lista de materiais de software (SBOM) e uma lista de materiais de infraestrutura (IBOM), e as exportará para os formatos padrão.

Totalmente integrado com correções flexíveis

Parte do CNAPP

A única maneira de garantir cobertura completa ao proteger aplicativos nativos da nuvem é verificar as vulnerabilidades em cada camada e etapa do ciclo de vida do desenvolvimento. O SCA é só um dos componentes da plataforma de proteção de aplicativos nativa da nuvem do Prisma Cloud que identifica o risco do código para a nuvem.

  • Identifique os riscos no código enquanto os desenvolvedores constroem e testam o software

    Verifique os pacotes e as imagens e do código aberto m busca de vulnerabilidades e problemas de conformidade em repositórios, como GitHub, e registros, como Docker, Quay, Artifactory e outros.

  • Bloqueie implantações para obter imagens verificadas

    Utilize a varredura de imagens e a análise de área limitada de contêineres do Prisma Cloud para identificar e bloquear imagens maliciosas e permitir que apenas imagens seguras cheguem à produção.

  • Impeça a atividade em qualquer ambiente de tempo de execução

    Gerencie políticas de tempo de execução a partir de um console centralizado para garantir que a segurança esteja sempre presente como parte de cada implantação. O mapeamento de incidentes para a estrutura MITRE ATT&CK, combinado com a análise forense detalhada e metadados avançados, ajuda as equipes de SOC a rastrear ameaças para cargas de trabalho efêmeras nativas da nuvem.

  • Segurança de tempo de execução com reconhecimento de contexto

    Detecte e previna contra configurações incorretas e vulnerabilidades que levam a violações de dados e de conformidade no tempo de execução com inventário completo dos ativos da nuvem, avaliações de configuração, correções automatizadas e muito mais.

Parte do CNAPP

Conformidade com a licença OSS

Não espere até uma revisão de conformidade manual para descobrir que uma biblioteca de código aberto não é compatível com seus requisitos de utilização de licença. O Prisma Cloud cataloga licenças de código aberto para dependências e pode alertar ou bloquear implantações com base em políticas de licença personalizáveis:

  • Evite violações dispendiosas de licença de código aberto

    Envie feedback antecipadamente e bloqueie compilações com base em violações de licença de pacotes de código aberto com suporte para todos os idiomas populares e gerenciadores de pacotes.

  • Faça uso das políticas padrão com base no uso da classe do setor

    As políticas prontas para uso trazem níveis de opinião de severidade para os tipos de licença comuns e correspondência de padrões para linguagem de tipo de licença não padrão para simplificar determinar o uso aceitável.

  • Crie políticas personalizadas para aplicar os requisitos de conformidade interna

    Defina com base no tipo de licença para atender aos requisitos internos para licenças copyleft e permissivas. Ao bloquear antecipadamente s violações de políticas integrando as ferramentas DevOps, as organizações evitam ter que lidar com a falta de conformidade de licenças no futuro.

Conformidade com a licença OSS

Módulos de código de segurança

SEGURANÇA DE INFRAESTRUTURA COMO CÓDIGO

Segurança de IaC automatizada incorporada nos fluxos de trabalho do desenvolvedor

Saiba mais

ANÁLISE DE COMPOSIÇÃO DE SOFTWARE (SCA)

Segurança de código aberto sensível ao contexto e conformidade de licença

Saiba mais

SEGURANÇA DA CADEIA DE SUPRIMENTOS DE SOFTWARE

Proteção de ponta a ponta para componentes de software e pipelines

Saiba mais

SEGURANÇA DE SEGREDOS

Varredura de segredos multidimensional em todos os repositórios e pipelines.

Saiba mais
RECURSOS EM DESTAQUE

Obtenha mais informações sobre o que o Prisma Cloud pode fazer pelo seu negócio

Ver todos os recursos
Folha de dados

Análise de composição de software

Download
VÍDEO

O que é a Análise de composição de software (SCA)?

Assista agora
Artigo técnico

Lista de verificação da Análise de composição de software

Download
BLOG

Por que você precisa ser proativo na conformidade com licenças de código aberto

Leia o blog
WEBINAR SOB DEMANDA

Análise detalhada do produto: SCA

Assista agora
Folha de dados

Segurança de código

Download

Receba as últimas notícias, convites para eventos e alertas de ameaças