七个最佳软件供应链安全工具
发布时间:2022-06-08 14:45:01 所属栏目:安全 来源:互联网
导读:正如Apache Log4J漏洞在今年早些时候带来的影响所表明的那样,当今企业软件中最大的风险并不是由内部软件开发团队编写的不安全代码。当今软件代码库大部分的组件、库和其他开源代码存在的缺陷是不安全性这座冰山的水下部分。 使用第三方代码构建的应用程序
|
正如Apache Log4J漏洞在今年早些时候带来的影响所表明的那样,当今企业软件中最大的风险并不是由内部软件开发团队编写的不安全代码。当今软件代码库大部分的组件、库和其他开源代码存在的缺陷是不安全性这座冰山的水下部分。 使用第三方代码构建的应用程序 现代应用程序主要由第三方代码组成。根据调研机构Forrester公司的调查,构成应用程序代码库的开源代码比例从2015年的36%上升到2020年的75%。 这是一种更快、更具可扩展性的快速开发方式,但与所有技术创新一样,除非采取适当的措施,否则它会增加网络风险。从当今的软件供应链中选择的组件很容易过时并充满漏洞,这是开发世界的一个秘密。让事情变得更加复杂的是,这些缺陷往往嵌套在一起,因为不同的项目可能对供应链中的其他项目具有依赖性。网络攻击者有时故意在开源软件中植入漏洞。 7个顶级供应链安全工具 (1)Contrast Security Contrast Security以其交互式应用程序安全测试(IAST)技术而闻名,该技术通过运行在应用程序服务器上的代理检测应用程序中的漏洞,ContrastSecurity提供软件组合分析(SCA))功能,作为其开放平台完整测试计划的一部分,该平台还进行动态应用程序安全测试(DAST)、静态应用程序安全测试(SAST),AWS Lambda基础设施的运行时应用程序扫描保护(RASP)和无服务器安全检查。 该工具不仅可以生成软件物料清单 (SBOM),还可以通过可视化应用程序架构、代码树和消息流信息来对构成应用程序的各种成分的缺陷实现场景化,以帮助进行威胁建模补救。开源治理嵌入在现代开发工作流程和工具中,Contrast Security的主要业务是弥合开发人员和安全团队之间的鸿沟,使其成为DevSecOps市场的主要参与者。 (2)Shiftleft ShiftLeft在这个选项领域相对较新,旨在适应具有前瞻性思维的DevOps团队的开发工作流程。其核心价值在于将软件组合分析(SCA)和静态应用程序安全测试(SAST)整合到一个扫描行为中,当开发人员提出拉取请求时完成该扫描。该技术使用该公司称为代码属性图(CPG)的技术来绘制自定义代码、开源库、SDK和API之间的依赖关系和数据流,不仅可以找出整个应用程序的缺陷,还包括其开源组件,但也是逻辑应用程序的弱点。供应链缺陷通过使用插入到软件物料清单 (SBOM)中的“可达性”指数对攻击的敏感性进行优先级排序,该指数根据组件在应用程序中的使用方式将其置于组件可攻击性的场景中。 (3)Snyk Snyk是一套云原生、以开发人员为中心的工具,专为DevSecOps和云原生开发商店而构建。它以其SCA和容器安全扫描功能而闻名,它还提供SAST和API漏洞测试。2022年2月,Snyk公司收购了云安全态势管理商Fugue公司。正如Gartner公司解释的那样,它在代码安全、容器安全和应用程序安全等基础设施中提供的产品组合代表了“应用程序和基础设施层越来越模糊”这一事实。它通常是在开发人员方面购买的,但对于寻求转向开发人员运行的安全测试和修复的民主化模型的首席安全官和安全人员来说值得尝试。 (4)Sonatype Nexus 作为软件组合分析(SCA)市场上运行时间最长的产品之一,Sonatype早在该术语进入安全会议和网络研讨会之前就将自己称为“软件供应链安全”公司。Sonatype Nexus平台的核心是其创建详细的软件物料清单 (SBOM)和策略管理的能力。Forrester公司分析师表示,“策略是Sonatype的优势领域,它具有符合一系列标准的开箱即用策略和允许用户创建策略,并将策略分配给某些类型的应用程序的策略引擎。”而策略不仅可以应用于代码中的内容,还可以用于管理周围基础设施的安全性和配置,作为用于开发和部署应用程序的代码和容器。 Sonatype Nexus还提供存储库管理,为所有组件、二进制文件和构建工件提供单一事实来源。Nexus的组件历史可视化和Sonatype的客户服务也被分析师称为其最大优势。Sonatype公司去年还在一次收购中收购了MuseDev,帮助它建立了Sonatype Lift功能,在代码审查期间提供对开发人员友好的代码质量分析。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
