軟體供應鏈安全性

透過對於軟體元件和交付管道的完整可視性和政策執行來保護您的軟體供應鏈。

申請免費試用

雲端原生開發依賴軟體供應鏈來提升開發人員生產力並縮短新功能的平均上市時間。但由於軟體供應鏈通常會將第三方軟體和工具併入開發人員工作流程，因此會引入特有的風險和複雜度。安全團隊必須主動設定防護措施來保護供應鏈不會受到威脅，並確保這些防護措施不會影響開發人員的敏捷性。

參閱 Unit 42 關於軟體供應鏈風險的最新研究。

下載報告

不安全的第三方元件是遭到攻擊的最主要原因

像是基礎結構即程式碼 (IaC) 範本、套件和容器等第三方開放原始碼元件雖然可以大幅提升開發人員的生產力，但卻容易出現弱點且在預設情況下也不夠安全。

若是缺乏對於弱點和錯誤設定的持續和主動可視性，開發人員可能會在其應用程式中使用不安全的元件，導致過於吵雜的警示和執行階段弱點，讓攻擊者有可乘之機來攻擊軟體供應鏈。

不安全的管道提供攻擊者入侵的進入點

VCS 儲存庫和 CI/CD 管道可讓雲端原生團隊大幅提升其發佈速度。但 VCS 設定和 CI/CD 工作流程幾乎都是依預設授權，並缺乏對於意外推送、程式碼植入或污染攻擊的防護。脆弱的設定會讓攻擊者趁機存取專屬程式碼和任務關鍵的系統。在取得存取權限後，攻擊者就可洩漏數據、植入惡意程式碼，或轉而使用其他脆弱的軟體元件。

若缺乏自動化供應鏈涵蓋範圍，企業將很難確保所有儲存庫、登錄和管道都能受到嚴密防護。

追蹤從程式碼到雲端的所有資產仍面臨相當大的挑戰

雲端原生軟體供應鏈是一種不斷變化的互連系統，因此難以維持對於供應鏈的完整可視性。單點解決方案並無法提供從程式碼到雲端的無縫涵蓋範圍，因此無法追蹤整個開發生命週期的資源、套件、弱點和錯誤設定。

若缺乏對於雲端原生堆疊和開發生命週期的脈絡感知涵蓋範圍，將很難根據暴露和實際的風險來排定安全問題的優先順序。

保護第三方元件和交付管道

Prisma Cloud 可提供企業對於其軟體供應鏈 (從程式碼、資源到交付管道) 每個元件的可視性，並且能夠持續進行安全的設定。Prisma Cloud 備受信任、業界領先的數據來源加上原生開發人員的整合，可讓您輕鬆地管理及緩解所有第三方供應鏈風險：

視覺化呈現軟體元件和交付管道的風險。
與開發人員工具和工作流程的整合。
同級最佳的錯誤設定和弱點掃描引擎。

Prisma Cloud 解決方案

我們的供應鏈安全方法

整合的供應鏈涵蓋範圍和視覺化

藉由 Prisma Cloud 的供應鏈圖表，企業能以視覺化呈現其供應鏈的每個元件並且了解所有相關風險。Prisma Cloud 的供應鏈圖表能視覺化呈現所有的企業程式碼和管道元件，並且透過安全狀況數據重疊增強內容，可針對企業的應用程式和基礎結構資產相依性提供完整的視覺化呈現。透過這些深入見解，企業能夠排定其供應鏈風險的優先順序，並且能更有效率地部署資源，針對最有可能遭到入侵的問題進行補救。

軟體供應鏈可視性和編目
供應鏈圖表可針對企業的交付管道和程式碼元件提供整合的目錄。在視覺化所有連線後，企業就能夠取得極其必要的可視性來檢視其供應鏈的攻擊範圍。然後企業就可以根據這些重要發現採取行動，例如利用 Prisma Cloud 的大量提取要求修復功能。此功能可讓企業只需建立單一提取要求，一次針對多個違規情況套用自動化修復。
脈絡感知軟體組成分析 (SCA)
Prisma Cloud 可以透過無限制的相依性樹狀結構掃描和精細的版本碰撞修正支援開放原始碼套件掃描。在將弱點發現與基礎結構錯誤設定相結合並嵌入開發人員工具後，Prisma Cloud 的 SCA 就能讓開發人員以更快的速度排定開放原始碼風險的優先順序並進行補救。
業界領先的 IaC 安全性
Prisma Cloud 由目前市場上最強大的開放原始碼政策即程式碼引擎 Checkov 提供技術支援，具備數千個政策，可以主動協助執行雲端安全最佳實務。Prisma Cloud 能夠在開發生命週期的初期階段找出雲端安全問題，並提供程式碼修正程式以確保您只會部署安全的基礎結構程式碼。

進一步了解

Consolidated supply chain coverage and visualization

保護儲存庫和登錄

為了能夠支援日益複雜的雲端原生程式碼庫，企業會非常依賴第三方系統來儲存、版本化及管理其程式碼。例如 GitHub、GitLab 或 Bitbucket 等版本控制系統 (VCS) 必須能支援程式碼管理。因為這些系統都包含了專屬程式碼和關鍵系統，因此其安全性就變得非常關鍵。此外，像是 DockerHub 這一類的映像登錄對於容器映像的儲存及方便存取來說也非常重要，但是如果沒有適當的防護措施，它們也可能形成弱點或遭到惡意映像入侵。Prisma Cloud 所具備的政策能持續評估 VCS 企業設定，讓其能依照 SLSA 和 CIS 基準所定義，保持安全最佳實務的最新狀態。

自動掃描 VCS 企業設定
在追求速度的情況下，我們很容器就會忽略 VCS 企業設定並假設所有的程式碼貢獻者都安全無虞。Prisma Cloud 所具備的政策可持續確保單一登入 (SSO) 和雙因素驗證 (2FA) 等 VCS 最佳實務的正常運作，以避免帳戶被盜用。
VCS 儲存庫設定掃描
為了加強 VCS 安全性，Prisma Cloud 也會協助團隊輕鬆地執行分公司防護規則以避免惡意程式碼植入和其他未獲授權或可疑的活動。團隊可透過政策持續掃描 VCS 儲存庫設定並維護以一致方式套用的分公司防護規則，確保其 VCS 儲存庫安全無虞，並且只有對程式碼進行適當檢閱後才能進行合併。
持續登錄安全性和受信任的映像
雖然容器登錄可簡化容器映像的儲存和交付，但這種方式仍存在獨特的安全考量，也就是雲端原生團隊必須盡可能地避免映像污染或部署不安全的映像。Prisma Cloud 會持續掃描及監控容器登錄、封鎖部署中易受攻擊或不受信任的映像，同時讓團隊設定精細的部署規則以發出警示，或防範特定的弱點和合規性問題。

安全的 CI/CD 管道

為了確保雲端原生團隊能維持其發佈速度，CI/CD 管道扮演了非常關鍵的角色。但這些管道在預設狀態下並非絕對的安全，並且惡意行動者也會經常利用 CI/CD 弱點發動供應鏈攻擊。Prisma Cloud 的政策庫包含 CI/CD 最佳實務，因此企業可利用這些管道所支援的相同自動化作業來持續評估其管道安全性。

建立防護措施以預防程式碼植入和污染
藉由 Prisma Cloud 立即可用的 CI/CD 政策，企業可自動建立及執行防護措施，例如封鎖不安全的命令或測試版功能。
尋找及移除硬式編碼的密碼
雖然依照最佳實務，我們通常不會透過硬式編碼將密碼寫入 IaC 範本或 CI/CD 設定檔案，但有時候為了追求速度也很難完全避免上述情況發生。透過 Prisma Cloud 的密碼掃描，企業很快就可以識別出硬式編碼的密碼，並防止這些密碼遭到公開暴露。
自動執行最低權限原則
Prisma Cloud 可以透過政策即程式碼自動調整 IAM 權限大小。在持續掃描及稽核現有的 IAM 政策後，Prisma Cloud 會移除未使用的權限並調整過度授權的 CI/CD 主機環境存取。Prisma Cloud 也會自動驗證及部署安全程式碼，讓團隊能夠降低人為錯誤發生的機率。

進一步了解

產生整合的軟體材料清單 (SBOM)

SBOM 是一種完整的目錄，其中包含企業的軟體元件和所有相關安全問題。不過，只有當輸入的資料完整無缺時才能確保 SBOM 的完整性，若使用個別的單點解決方案，要達到這種完整性就需要手動刪除重複項目並進行整合。Prisma Cloud 可提供包含各種應用程式和基礎結構元件的 SBOM，因此可針對雲端原生應用程式簡化其 SBOM 產生程序，讓企業能夠輕鬆地將目錄和風險資訊與內部和外部客戶共用。

整合式和彈性匯出
完整的 SBOM 包含了所有 IaC 資源、開放原始碼套件、映像元件、已知的弱點、錯誤設定和開放原始碼授權。Prisma Cloud 可透過 CSV 和 CycloneDX 等標準化的報告格式將 SBOM 匯出。
滿足 SBOM 廠商要求
有越來越多的最終客戶 (包括美國政府)，都會要求提供 SBOM 來解決許多他們最關切的問題。SBOM 主要用於釐清廠商在採購程序中的責任，並確保在企業持續風險評估期間考量到個別廠商的風險責任。
維護一個受信任且正確的軟體目錄
在比較部署前後產生的 SBOM 後，企業就可以偵測及補救內容遭到竄改的情況，針對儲存在 SBOM 的資訊維護其有效性和可靠性。