Ricerca

Sicurezza della supply chain del software

Proteggi la supply chain del software con visibilità completa e applicazione delle policy nei diversi componenti software e pipeline di distribuzione.
Richiedi una versione di prova gratuita

Lo sviluppo di applicazioni cloud-native si basa su supply chain del software per aumentare la produttività dei team e ridurre i tempi di rilascio delle nuove funzionalità. Ma queste supply chain introducono rischi e problemi unici perché portano nei flussi di lavoro di sviluppo software e strumenti di terze parti. I team per la sicurezza devono impostare controlli preventivi per proteggere le supply chain del software dalle minacce e garantire che questi controlli non intralcino l'agilità dei team di sviluppo.

Leggi l'ultima ricerca di Unit 42 sui rischi delle supply chain del software.

Scarica il report
1

I componenti di terze parti sono una principale causa di attacco

I componenti open source di terze parti, come i modelli Infrastructure as Code (IaC), i pacchetti e le immagini dei container, da un lato aumentano notevolmente la produttività dei team di sviluppo, dall'altro sono soggetti a vulnerabilità e di per sé rischiosi.

Senza una visibilità continua e proattiva sulle vulnerabilità e sugli errori di configurazione, i team di sviluppo potrebbero introdurre nelle applicazioni componenti rischiosi che generano avvisi fastidiosi e punti deboli nel runtime sfruttabili dagli autori di attacchi contro la supply chain del software.
2

Le pipeline deboli creano punti di ingresso per gli autori di attacchi

I repository VCS e le pipeline CI/CD permettono ai team di sviluppo di applicazioni cloud-native di velocizzare al massimo le operazioni di rilascio. Tuttavia presentano di per sé autorizzazioni eccessive e sono privi di protezioni contro attacchi sconsiderati, code injection o contaminazioni pericolose. Le configurazioni deboli possono far entrare gli autori di attacchi nel codice proprietario e nei sistemi mission-critical. Una volta ottenuti i privilegi avanzati, gli hacker possono rubare i dati, inserire codice dannoso o passare ad altri componenti software deboli.

Senza una copertura automatizzata della supply chain, è difficile per le organizzazioni garantire che repository, registri e pipeline vengano bloccati.
3

Monitorare tutte le risorse dal codice al cloud è complicato

Le supply chain del software cloud-native sono sistemi interconnessi e in continua evoluzione difficile da tenere sotto controllo. Le soluzioni isolate non forniscono la copertura dal codice al cloud necessaria per monitorare risorse, pacchetti, vulnerabilità ed errori di configurazione nell'intero ciclo di vita.

Senza una copertura in grado di riconoscere il contesto negli stack cloud-native e nel ciclo di sviluppo, è difficile definire la priorità dei problemi di sicurezza in base all'esposizione e ai rischi effettivi.

Proteggi i componenti di terze parti e le pipeline di distribuzione

Con Prisma Cloud, le organizzazioni possono controllare ogni componente delle supply chain del software, dal codice alle risorse alle pipeline di distribuzione, e applicare di continuo una configurazione protetta. Grazie a origini dati attendibili di punta del settore e integrazioni native per gli ambienti di sviluppo, Prisma Cloud facilita la gestione e limita i rischi delle supply chain di terze parti.
  • Visualizzazione dei rischi dei componenti software e delle pipeline di distribuzione.
  • Integrazione negli strumenti e nei flussi di lavoro di sviluppo.
  • Motori di analisi avanzati per le vulnerabilità e gli errori di configurazione.
  • Inventario e visualizzazione del codice
    Inventario e visualizzazione del codice
  • Analisi dei segreti
    Analisi dei segreti
  • Analisi dei registri
    Analisi dei registri
  • Applicazione di immagini attendibili
    Applicazione di immagini attendibili
  • Sicurezza CI/CD
    Sicurezza CI/CD
  • Adeguamento IAM automatico
    Adeguamento IAM automatico
LA SOLUZIONE PRISMA CLOUD

Il nostro approccio alla sicurezza della supply chain

Visualizzazione e copertura della supply chain consolidate

Con il grafico Supply Chain Graph di Prisma Cloud, le organizzazioni possono osservare i vari componenti e valutare i rischi associati alla supply chain. Il grafico mostra in un'unica visualizzazione l'inventario di tutte le parti che compongono il codice e le pipeline, insieme ai dati sul livello di sicurezza, per una visione d'insieme delle dipendenze dell'infrastruttura e delle applicazioni. Grazie a queste informazioni, le organizzazioni possono classificare i rischi nella supply chain per priorità e distribuire le risorse in maniera più efficiente per correggere i problemi con la probabilità più alta di exploit.

  • Visibilità e catalogazione della supply chain del software

    Il grafico Supply Chain Graph mostra l'inventario consolidato del codice e delle pipeline di distribuzione. Visualizzando come sono collegati i vari componenti, le organizzazioni possono monitorare bene la superficie di attacco della supply chain e agire di conseguenza, ad esempio con la funzionalità di correzione delle richieste pull in blocco di Prisma Cloud. Questa funzionalità crea un'unica richiesta pull in modo da applicare una correzione automatizzata per più violazioni alla volta.

  • Analisi della composizione del software (SCA) contestuale

    Prisma Cloud supporta l'analisi dei pacchetti open source con scansione dell'albero delle dipendenze senza limiti e correzioni bump granulari. Combinando i risultati delle vulnerabilità con gli errori di configurazione dell'infrastruttura e integrandoli negli strumenti di sviluppo, l'analisi SCA di Prisma Cloud permette agli sviluppatori di definire le priorità e correggere i rischi legati all'open source più rapidamente.

  • Sicurezza IaC di punta del settore

    Grazie a Checkov, il motore open source di policy as code più stabile nel mercato, Prisma Cloud contiene migliaia di policy per applicare in maniera proattiva le best practice di sicurezza del cloud. Prisma Cloud rileva i problemi di sicurezza del cloud in una fase iniziale del ciclo di sviluppo e indica come correggerli in modo che sia distribuito solo il codice sicuro.

Ulteriori informazioni
Visualizzazione e copertura della supply chain consolidate

Repository e registri protetti

Per supportare basi di codice cloud-native sempre più complesse, le organizzazioni si affidano molto a sistemi di terze parti per archiviare, differenziare e gestire il codice. I sistemi di controllo delle versioni (VCS), come GitHub, GitLab o Bitbucket, devono agevolare la gestione del codice ed essere sicuri dal momento che contengono codice proprietario e sistemi critici. Lo stesso vale per i registri delle immagini, come DockerHub, usati per archiviare e avere accesso immediato alle immagini dei container: senza le giuste protezioni, questi registri possono favorire l'introduzione di vulnerabilità o immagini dannose. Le policy di Prisma Cloud valutano di continuo le impostazioni VCS in modo che siano sempre aggiornate con le best practice di sicurezza, come definito dai benchmark SLSA e CIS.

  • Scansione automatizzata delle impostazioni VCS

    Negli ambienti molto dinamici, è facile trascurare le impostazioni VCS e presupporre che ogni componente del codice sia sicuro. Prisma Cloud offre una serie di policy per verificare che siano sempre applicate le misure VCS migliori, come l'accesso Single Sign-On (SSO) e l'autenticazione a due fattori (2FA), per prevenire la compromissione degli account.

  • Analisi delle impostazioni dei repository VCS

    Per una maggiore sicurezza VCS, Prisma Cloud permette ai team di applicare facilmente regole di protezione delle diramazioni per evitare tentativi di code injection e altre attività non autorizzate o sospette. Le policy permettono di analizzare continuamente le impostazioni dei repository VCS e applicare le regole di protezione delle diramazioni, così i team possono avere la certezza che l'unione del codice è consentita solo dopo un'adeguata revisione.

  • Sicurezza continua dei registri e immagini attendibili

    I registri dei container semplificano lo storage e la distribuzione delle immagini dei container, ma hanno requisiti di sicurezza da tenere presenti per evitare la contaminazione o la distribuzione di immagini dannose. Prisma Cloud analizza e monitora di continuo i registri dei container, bloccando la distribuzione delle immagini vulnerabili o non attendibili e consentendo ai team di impostare regole granulari per la distribuzione per attivare il meccanismo di avviso o prevenire vulnerabilità e problemi di conformità specifici.

Repository e registri protetti

Pipeline CI/CD protette

Le pipeline CI/CD sono essenziali per garantire tempi di rilascio brevi. Tuttavia, queste pipeline non sono protette di default, e infatti gli autori di attacchi spesso sfruttano i loro punti deboli per colpire la supply chain. La raccolta di policy di Prisma Cloud comprende best practice CI/CD per valutare di continuo la sicurezza delle pipeline con la stessa automazione.

  • Definisci controlli preventivi contro il code injection e la contaminazione

    Con le policy CI/CD preconfigurate di Prisma Cloud, le organizzazioni possono creare e applicare in automatico dei controlli preventivi, ad esempio per bloccare l'uso di comandi pericolosi o funzionalità beta.

  • Trova e rimuovi i segreti hardcoded

    Per quanto sia consigliato non inserire segreti nei modelli IaC o nei file di configurazione CI/CD, può succedere quando i team lavorano in fretta. Con l'analisi dei segreti di Prisma Cloud, le organizzazioni possono trovare subito i segreti hardcoded ed evitare che vengano esposti in pubblico.

  • Applica automaticamente privilegi minimi

    Le policy as code di Prisma Cloud permettono di adeguare in automatico le impostazioni IAM. Grazie all'analisi e alla verifica continue delle policy IAM esistenti, Prisma Cloud rimuove le autorizzazioni inutilizzate e corregge quelle eccessive per l'accesso all'ambiente host CI/CD. Prisma Cloud consente inoltre ai team di ridurre la probabilità di errori umani grazie alla convalida automatica e alla distribuzione del codice sicuro.

Ulteriori informazioni
Pipeline CI/CD protette

Generazione di distinte base del software (SBOM) consolidate

Una distinta SBOM è un inventario completo dei componenti software di un'organizzazione e di tutti i problemi di sicurezza associati. Le informazioni di una distinta SBOM sono aggiornate finché lo sono i dati inseriti. Quando si utilizzano strumenti isolati, è necessario deduplicare e consolidare i dati manualmente perché siano sempre precisi. Prisma Cloud semplifica la generazione di distinte SBOM per le applicazioni cloud-native fornendo un'unica distinta per tutti i componenti delle applicazioni e dell'infrastruttura. In questo modo è facile per le organizzazioni condividere l'inventario e le informazioni sui rischi con i clienti interni ed esterni.

  • Esportazioni consolidate e flessibili

    Una distinta SBOM completa comprende tutte le risorse IaC, i pacchetti open source, le immagini, le vulnerabilità note, gli errori di configurazione e le licenze open source. Prisma Cloud permette di esportare le distinte SBOM nei formati di report standard, come i file CSV e CycloneDX.

  • Soddisfa i requisiti dei fornitori SBOM

    I clienti finali, compresi gli enti pubblici, chiedono sempre più le distinte SBOM per un controllo migliore dei processi di approvvigionamento. Le distinte vengono utilizzate infatti per gestire l'affidabilità dei fornitori e fare in modo che il rischio attribuito al singolo fornitore sia tenuto in considerazione nelle valutazioni continue dei rischi di un'organizzazione.

  • Tieni un inventario software preciso e attendibile

    Confrontando le distinte SBOM generate prima e dopo la distribuzione, le organizzazioni possono rilevare e correggere le manomissioni per garantire la validità e l'affidabilità delle informazioni memorizzate.

Generazione di distinte base del software (SBOM) consolidate

Moduli di sicurezza del codice

SICUREZZA DELL'INFRASTRUCTURE AS CODE

Sicurezza IaC automatizzata e integrata nei flussi di lavoro di sviluppo

Ulteriori informazioni

ANALISI DELLA COMPOSIZIONE DEL SOFTWARE (SCA)

Sicurezza e conformità delle licenze open source contestualizzate

Ulteriori informazioni

SICUREZZA DELLA SUPPLY CHAIN DEL SOFTWARE

Protezione completa per i componenti e le pipeline software

Ulteriori informazioni

SECRETS SECURITY

Full-stack, multidimensional secrets scanning across repos and pipelines.

Learn more
Risorse in evidenza

Approfondisci cosa può fare Prisma Cloud per la tua azienda

Tutte le risorse
WHITE PAPER

Checklist per la supply chain del software

Scarica la checklist
SCHEDA TECNICA

Sicurezza del codice cloud-native

Scarica la scheda tecnica
REPORT DI RICERCA

Report sulle minacce cloud di Unit 42: Proteggi la supply chain del software per proteggere il cloud

Leggi il report completo
WEBINAR ON-DEMAND

Attacchi alla supply chain: come funzionano e come fermarli

Scarica la registrazione
BLOG

Anatomia di un attacco alla supply chain cloud

Leggi il blog

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce

COMPANHIA

Avisos legais

Conta

Copyright © 2024 Palo Alto Networks. Tutti i diritti riservati.