搜尋

軟體組成分析

透過開發人員整合與脈絡感知優先順序,主動解決各種開放原始碼弱點和授權合規性問題。
要求示範
主機安全性 Hero 正面映像

隨著弱點變得越來越普遍且捉摸不定,企業需要一套更快速、更簡單以及更流暢的方式來因應開放原始碼風險。隨著雲端原生基礎結構與應用程式層之間的界線越趨模糊,我們也越有可能從源頭保護程式碼並嵌入 DevOps 工具中。採取相互連接的方式來維護開放原始碼安全性和合規性,可讓企業儘可能減少誤判、針對發現結果排定優先順序,並以更快的速度維護程式碼的安全。

雲端原生應用程式取決於開放原始碼

開放原始碼軟體是雲端原生應用程式的一個重要組成部分,可讓開發人員能建立新功能來取得先機以免白費力氣。然而,即使具備以上這些優勢,第三方開放原始碼軟體仍具有安全性和合規性方面的風險,必須透過任何雲端原生安全計劃來解決。

相依性的擴散帶來風險

由於開放原始碼軟體包含許多層的套件相依性,我們很難精確掌握 OSS 的部分會用於應用程式堆疊中的哪個位置以及如何使用。此外,弱點經常會深植在傳遞的套件中。因此我們必須透過持續且整合的方法來追蹤這些弱點和授權。

孤立的安全工具造成涵蓋範圍落差

一旦缺乏應用程式基礎結構的完整脈絡,我們很難判斷已識別的弱點是否實際暴露在應用程式內部,或者是否具有較低的風險。在結合應用程式與基礎結構安全發現後,這些弱點就會在整個程式碼庫的脈絡中浮現,讓我們更能排定優先順序並進行更快速的修復。

Cortex® Cloud 能讓開發人員更輕鬆地消除開放原始碼風險而不必擔心拖慢速度。

Cortex Cloud 會整合 DevOps 工具與程式碼、建置、部署和執行階段,因此可主動掃描開放原始碼套件中的弱點和授權合規性問題。Cortex Cloud 的數據模型能結合程式碼層級基礎結構和應用程式弱點,完整的相依性推斷和精細的版本碰撞修正也讓其與其他的 SCA 解決方案有著明顯的區別。
  • 對於相連基礎結構和應用程式風險的單一檢視
  • 與開發人員工具和工作流程的整合
  • 套件和容器映像的完整生命週期安全性
  • 圖示 建立在受信任的來源上
    建立在受信任的來源上
  • 圖示 適用於開發人員的整合
    適用於開發人員的整合
  • 圖示 無限制的相依性樹狀結構掃描
    無限制的相依性樹狀結構掃描
  • 圖示 版本碰撞補救
    版本碰撞補救
  • 圖示 版本碰撞補救
    授權分析與稽核報告
  • 圖示 自訂執行規則
    自訂執行規則
解決方案

透過開發人員優先、脈絡感知的方法進行軟體組成分析

高準確度和脈絡感知

Cortex Cloud 軟體組成分析 (SCA) 以聲譽卓著的弱點數據庫為基礎,並且連接至業界最強大的基礎結構政策數據庫,能讓開發人員在內容中找出弱點以了解風險所在並且更快地實施修正。Cortex Cloud 可以提供您更寬廣且更深入的開放原始碼涵蓋範圍,讓您能掌握大型弱點的蹤跡並加以預防:

  • 以絕佳的準確性掃描各種語言和套件管理工具

    識別開放原始碼套件中的弱點並支援所有最常用的語言以及超過 30 種上游數據來源,將發生誤判的機率降到最低。

  • 利用業界領先的來源,對於開放原始碼安全性充滿信心

    Cortex Cloud 會掃描開放原始碼相依性,將其與 NVD 和 Cortex Cloud Intelligence Stream 等公用數據庫進行比較以找出弱點,並且顯示重要的修正資訊。

  • 結合基礎結構和應用程式風險

    專注於實際暴露在程式碼庫中的弱點以防範誤判的發生,並且能更快速地排定補救的優先順序。

  • 識別任何相依性深度的弱點

    Cortex Cloud 會取得套件管理工具數據來推斷至最深層的相依性樹狀結構,藉此識別隱藏在其中的開放原始碼風險。

  • 視覺化您的軟體供應鏈並編排目錄

    供應鏈圖表可針對您的管道和程式碼提供整合的目錄。它能夠視覺化呈現所有的連接,並且可以產生軟體材料清單 (SBOM),讓您能更輕鬆地追蹤應用程式風險並且了解您的攻擊範圍。

基礎結構感知

與具彈性的修正程式進行完全整合

開發人員必須經由完整脈絡來判斷使用開放原始碼庫的方式和位置,並且能夠適時得到意見反應,唯有如此他們才能真正修補這些弱點。SCA 會充分利用 Cortex Cloud 的原生開發人員工具整合以及 CLI 工具的可擴展性,因此能完全地整合至開發人員工作流程中,以便在正確的地點和正確的時間顯示這些弱點:

  • 將開放原始碼安全性整合至開發人員工具和工作流程中

    讓開發人員能更放心地將新套件整合至程式碼庫,並且透過 IDE 和 VCS 提取/合併要求即時取得弱點相關意見反應。

  • 建立及執行整個生命週期適用的自訂政策

    整合弱點管理以掃描儲存庫、登錄、CI/CD 管道和執行階段環境,並且判斷已封鎖或允許哪些軟體。

  • 在避免大幅度改變的情況下修正問題

    取得建議的最小幅度更新來修正直接和傳遞相依性中的弱點,避免因破壞關鍵功能而造成風險。運用彈性來選擇適用於每個套件的精細版本,讓您可以一次修正多個問題。

  • 建立軟體材料清單

    Cortex Cloud 可在儲存庫中找出相依性,建立一份軟體材料清單 (SBOM) 和基礎結構材料清單 (IBOM) 並以標準格式匯出。

與具彈性的修正程式進行完全整合

OSS 授權合規性

然而合規性問題刻不容緩,切勿等到手動合規性審查時才發現您的開放原始碼程式庫並不符合您的授權使用要求。Cortex Cloud 會將開放原始碼授權編入相依性目錄,並且根據可自訂的授權政策發出警示或封鎖部署:

  • 避免代價昂貴的開放原始碼授權違規

    提早顯示意見反應,並且根據開放原始碼套件授權違規來封鎖建置,同時支援所有常見的語言和套件管理工具。

  • 根據標準的業界使用案例來利用預設政策

    立即可用的政策,加上常見授權類型的安全性層級以及非標準授權類型語言的模式比對,可讓您更輕鬆地判斷能接受哪些使用方式。

  • 建立自訂政策以執行內部合規性要求

    根據授權類型設定規則以符合著作傳和許可授權的內部要求。由於企業可以透過 DevOps 工具整合在初期封鎖政策違規的情況,因此不需要煩惱如何處理後續授權不合規的情況。

OSS 授權合規性

其他應用程式安全功能

基礎結構即程式碼安全性

自動化的 IaC 安全性已嵌入開發人員工作流程

進一步了解

應用程式安全狀況管理

阻止風險進入生產環境,並從源頭快速補救問題。

進一步了解

軟體供應鏈安全性

強化您的 CI/CD 管道、縮小攻擊範圍並保護您的應用程式開發環境。

進一步了解

密碼安全性

對於儲存庫和管道的完整堆疊且多面向密碼掃描。

進一步了解

取得最新資訊、活動邀請,以及威脅警示