Pesquisar

Segurança da cadeia de suprimentos de software

Proteja sua cadeia de suprimentos de software tendo visibilidade total e aplicando políticas em componentes de software e pipelines de entrega.

Solicite uma avaliação gratuita

O desenvolvimento nativo da nuvem precisa das cadeias de suprimentos de software para aumentar a produtividade do desenvolvedor e reduzir o tempo médio de lançamento de novos recursos no mercado. Mas as cadeias de suprimentos de software trazem complexidade e riscos exclusivos porque incorporam software e ferramentas de terceiros nos fluxos de trabalho do desenvolvedor. As equipes de segurança precisam configurar proativamente as proteções para proteger as cadeias de suprimentos de software contra ameaças e garantir que essas proteções não afetem a agilidade do desenvolvedor.

Leia sobre a última pesquisa da Unit 42 sobre os riscos da cadeia de suprimentos de software.

Baixar o relatório

Componentes inseguros de terceiros são uma das principais causas de ataque

Componentes de código aberto de terceiros, como modelos de infraestrutura como código (IaC), pacotes e imagens de contêineres, ajudam a melhorar radicalmente a produtividade do desenvolvedor, mas, por padrão, eles são inseguros e propensos a vulnerabilidades.

Sem a visibilidade contínua e proativa das vulnerabilidades e configurações incorretas, provavelmente, os desenvolvedores usarão componentes inseguros em seus aplicativos, causando alertas ruidosos e problemas de tempo de execução que os intrusos podem usar para atacar a cadeia de suprimentos de software.

Pipelines fracos criam pontos de entrada para invasores

Os repositórios VCS e os pipelines de CI/CD permitem que as equipes nativas da nuvem tirem o máximo proveito da velocidade de lançamento. Mas, por padrão, as configurações de VCS e os fluxos de trabalho de CI/CD são permissivos e precisam ser protegidas contra pushes descuidados, injeção de código ou ataques de envenenamento. Configurações fracas podem permitir que os intrusos consigam acessar códigos proprietários e sistemas de missão crítica. Ao ter acesso privilegiado, os invasores podem vazar dados, injetar códigos maliciosos ou usar outros componentes de software fracos.

Sem ter uma cobertura automatizada da cadeia de suprimentos, será um desafio para as organizações garantir que todos os repositórios, registros e pipelines fiquem protegidos.

Acompanhar o controle de todos os ativos, do código à nuvem, é um desafio

As cadeias de suprimentos de software nativo da nuvem estão sempre mudando e são interconectadas, o que dificulta manter uma visibilidade completa de toda a cadeia de suprimentos. As soluções individuais não dão a cobertura contínua necessária de códigos para nuvem para acompanhar recursos, pacotes, vulnerabilidades e configurações incorretas em todo o ciclo de vida do desenvolvimento.

Sem a cobertura sensível ao contexto em pilhas nativas de nuvem e no ciclo de vida de desenvolvimento, fica difícil priorizar os problemas na segurança com base na exposição e no risco da vida real.

Proteja pipelines de entrega e componentes de terceiros

O Prisma Cloud dá às organizações um panorama de todos os componentes de suas cadeias de suprimentos de software (do código aos recursos e pipelines de entrega), bem como a capacidade de aplicar uma configuração segura continuamente. As fontes de dados confiáveis e líderes do setor do Prisma Cloud, juntamente com integrações nativas de desenvolvedor, facilitam administrar e mitigar todos os riscos da cadeia de suprimentos de terceiros:

Visualização de componentes de software e riscos de pipeline de entrega.
Integrado em ferramentas de desenvolvedor e fluxos de trabalho.
Os melhores mecanismos de varredura de vulnerabilidade e configuração incorreta da categoria.

Visualização e inventário de código
Varredura de segredos
Varredura de registro
Aplicação de imagens confiáveis
Segurança de CI/CD
Dimensionamento correto automatizado de IAM

A SOLUÇÃO DO PRISMA CLOUD

Nossa abordagem de segurança da cadeia de suprimentos

Cobertura e visualização consolidadas da cadeia de suprimentos

Com o Gráfico da Cadeia de suprimentos do Prisma Cloud, as organizações podem ver cada componente da sua cadeia de suprimentos e entender todos os riscos associados. O Gráfico da Cadeia de suprimentos do Prisma Cloud inventaria todos os componentes de código e pipeline da organização em uma única visualização (ampliada por uma sobreposição dos dados de postura de segurança) para dar uma representação visual completa das dependências de aplicativos e ativos de infraestrutura da organização. Ao usar essas informações, as organizações podem priorizar os riscos em toda a cadeia de suprimentos e aplicar recursos de forma mais eficiente para solucionar os problemas que tenham maior chance de exploração.

Visibilidade e catalogação da cadeia de suprimentos de software
O Gráfico da Cadeia de suprimentos fornece um inventário consolidado dos pipelines de entrega e componentes de código das organizações. Ao ver todas as conexões, as organizações adquirem a tão necessária visibilidade da superfície de ataque da sua cadeia de suprimentos. Assim, as organizações podem agir com base nessas descobertas, como aproveitar o recurso de correções de solicitação pull em massa do Prisma Cloud. Esse recurso permite às organizações criar uma única solicitação pull que aplicará uma correção automatizada a muitas violações de uma só vez.
Análise de composição de software (SCA) com reconhecimento de contexto
O Prisma Cloud dá suporte a varreduras de pacotes de código aberto sem limites de varredura de árvore de dependência e correções granulares de versão. Ao sobrepor as descobertas de vulnerabilidade com as configurações incorretas da infraestrutura e incorporar as ferramentas do desenvolvedor, o SCA do Prisma Cloud capacita os desenvolvedores a priorizar e corrigir riscos de código aberto o quanto antes.
Segurança IaC líder do setor
Alimentado pelo mecanismo de “política como código” de código aberto mais robusto do mercado, o Checkov, o Prisma Cloud vem equipado com milhares de políticas para ajudar a aplicar proativamente as práticas recomendadas de segurança na nuvem. O Prisma Cloud trata dos problemas de segurança da nuvem no início do ciclo de vida do desenvolvimento e traz correções de código para garantir que somente o código de infraestrutura segura seja implantado.

Saiba mais

Cobertura e visualização consolidadas da cadeia de suprimentos

Repositórios e registros seguros

Para dar suporte às complexidades cada vez mais presentes das bases de código nativas da nuvem, as organizações precisam de sistemas de terceiros para armazenar, criar versões e gerenciar seu código. Os sistemas de controle de versão (VCS), como o GitHub, GitLab ou Bitbucket, devem dar suporte ao gerenciamento de código e, como contêm código proprietário e sistemas críticos, é vital que também fiquem protegidos. E os registros de imagem, como o DockerHub, são essenciais para armazenar e permitir acesso imediato a imagens de contêiner. Porém, se não tiverem as proteções corretas, eles também podem trazer vulnerabilidades ou imagens maliciosas. O Prisma Cloud tem políticas para avaliar continuamente as configurações da organização VCS para mantê-los atualizados com as práticas recomendadas de segurança, conforme definido pelos benchmarks SLSA e CIS.

Varredura automatizada das configurações da organização VCS
Na pressa, fica fácil ignorar as configurações da organização do VCS e presumir que todos os contribuidores de código estarão protegidos. O Prisma Cloud vem com políticas para garantir sempre que as práticas recomendadas de VCS, como logon único (SSO) e autenticação de dois fatores (2FA), sejam aplicadas para evitar a tomada de controle das contas.
Varredura das configurações do repositório VCS
Para melhorar a segurança do VCS, o Prisma Cloud também ajuda as equipes a aplicar facilmente as regras de proteção de filiais para evitar injeção de código malicioso e outras atividades não autorizadas ou suspeitas. Quando têm políticas para verificar continuamente as configurações do repositório VCS e manter as regras de proteção de ramificação aplicadas de forma consistente, as equipes podem ter certeza de que seus repositórios VCS ficarão protegidos e que o código só poderá ser mesclado após a avaliação adequada.
Segurança contínua de registro e imagens confiáveis
Os registros de contêiner simplificam o armazenamento e a entrega de imagens de contêiner, mas possuem características de segurança exclusivas que as equipes nativas da nuvem devem tratar para evitar o envenenamento de imagens ou implantação de imagens inseguras. O Prisma Cloud examina e monitora continuamente os registros de contêineres, impedindo a implantação de imagens vulneráveis ou não confiáveis, e permitindo que as equipes definam regras de implantação granulares para alertar ou evitar vulnerabilidades específicas e problemas de conformidade.

Pipelines seguros de CI/CD

Os pipelines de CI/CD são fundamentais, pois as equipes nativas da nuvem trabalham para manter a velocidade de lançamento. Mas, por padrão, esses pipelines não são seguros, e agentes maliciosos frequentemente se aproveitam dos pontos fracos do CI/CD para instigar ataques à cadeia de suprimentos. A biblioteca de políticas do Prisma Cloud inclui as práticas recomendadas de CI/CD, de modo que as organizações possam avaliar sempre a segurança de seus pipelines, aproveitando a mesma automação suportada por esses pipelines.

Coloque proteções para evitar injeção de código e envenenamento
s políticas de CI/CD prontas para uso do Prisma Cloud permitem que as organizações automatizem a criação e a aplicação de proteções, como bloqueando o uso de comandos não seguros ou recursos beta.
Encontre e remova segredos codificados
Embora não codificar segredos em modelos IaC ou arquivos de configuração CI/CD seja uma prática recomendada, às vezes isso é feito quando as equipes estão com pressa. Com a varredura de segredos do Prisma Cloud, as organizações conseguem identificar segredos codificados rapidamente e podem evitar que esses segredos sejam expostos ao público.
Aplique automaticamente o princípio do menor privilégio
O Prisma Cloud permite adaptar o IAM automaticamente com política como código. Ao examinar e auditar continuamente as políticas IAM existentes, o Prisma Cloud remove permissões não usadas e ajusta o acesso permissivo demais ao ambiente de host de CI/CD. O Prisma Cloud também permite que as equipes reduzam a probabilidade de erro humano por meio da validação e implantação automática do código seguro.

Saiba mais

Geração consolidada de lista de materiais de software (SBOM)

Um SBOM é um inventário completo dos componentes de software e todos os problemas de segurança associados de uma organização. Mas um SBOM só tem entradas que são inseridas nela e, ao usar soluções pontuais individuais, é preciso fazer desduplicação e consolidação manualmente para que seja completa. O Prisma Cloud simplifica a emissão de SBOM para aplicativos nativos da nuvem, fornecendo uma única SBOM entre aplicativos e componentes de infraestrutura, o que permite que as organizações compartilhem facilmente informações de inventário e risco com clientes internos e externos .

Exportações consolidadas e flexíveis
Um SBOM completo tem todos os recursos IaC, pacotes de código aberto, componentes de imagem, vulnerabilidades conhecidas, configurações incorretas e licenças de código aberto. O Prisma Cloud exporta SBOMs em formatos de relatório padronizados, incluindo CSV e CycloneDX.
Cumprir os requisitos do fornecedor SBOM
Os clientes finais (incluindo o governo dos EUA) estão cada vez mais exigindo SBOMs como solução para muitas preocupações importantes. Os SBOMs são usados principalmente para manter a responsabilidade do fornecedor nos processos de aquisição e garantir que o risco atribuído a fornecedores individuais seja considerado durante as contínuas avaliações de risco de uma organização.
Mantenha um inventário de software preciso e confiável
Ao comparar os SBOMs emitidos antes e depois da implantação, as organizações podem detectar e solucionar a intromissão para manter a validade e a confiabilidade das informações armazenadas no SBOM.