Neue Funktionen schützen den gesamten Prozess der Software-Erstellung – Entwicklungs- und IT-Sicherheits-Teams können Risiken vom Code bis zur Runtime angehen
Aqua Security hat die branchenweit erste und bislang einzige End-to-End-Sicherheitslösung für die Software-Supply-Chain vorgestellt. Der Anbieter für Cloud-native Security bietet damit Schutz über den gesamten Entwicklungszyklus und hilft Unternehmen, Angriffe auf Cloud-native Anwendungen in der Supply-Chain zu verhindern und zu stoppen. Die Neuerungen sind Teil der vollständig integrierten Cloud Native Application Protection Platform (CNAPP). Sie bilden den letzten Schritt zur vollständigen Integration der Technologie von Argon Security nach der Übernahme im Dezember 2021.
Angriffe auf die Software-Supply-Chain nehmen stark zu: Allein von 2020 auf 2021 registrierten Aquas Experten einen Anstieg um 300 Prozent. Die geänderte Bedrohungslage beschäftigt inzwischen auch Regierungen weltweit, erst vor Kurzem veröffentlichte das Weiße Haus eine entsprechende „Durchführungsverordnung“. Die Gefahren gehen von Entwicklungs-Tools anderer Hersteller, Abhängigkeiten durch Open-Source sowie von Kriminellen aus, die es auf Toolsets und komplette Entwicklungsumgebungen abgesehen haben. Für Hersteller von Software-Lösungen jeder Art ist es daher wichtig, Fehler in ihren Lösungen so früh wie möglich zu erkennen und zu beheben.
Erste in eine CNAPP integrierte Sicherheitslösung für die Software-Supply-Chain
Aqua reagiert darauf mit neuen Funktionen. Sie machen die Aqua-Lösung zur einzigen auf dem Markt, die – von Code bis Runtime – vor Risiken in der Supply-Chain schützt, und das sowohl in der Anwendung als auch der zugrunde liegenden Infrastruktur. Mit der ersten CNAPP, die auch eine Supply-Chain-Lösung enthält, definiert Aqua diese Kategorie durch noch mehr Integration und durchgehenden Schutz neu.
Supply Chain Security bietet aktive Warnungen und gesicherte Projektabschnitte entlang der gesamten Code- und Build-Phase, um Risiken so früh wie möglich im Entwicklungszyklus zu reduzieren. Diese Sicherheitsrichtlinien lassen sich automatisieren, was die Feedback-Schleife für Entwicklungs- und Sicherheitsteams weiter verkürzt und die damit verbundenen Kosten für Fehlerkorrekturen einspart.
Zu den neuen Funktionen gehören:
- Code-Überprüfung: Der gesamte Code eines Unternehmens lässt sich in wenigen Minuten scannen, ohne den Entwickler-Workflow zu verlassen. Mit Aqua Trivy Premium, der Unternehmensversion des Open-Source-Scanners für Cloud-native Security, können Entwickler Schwachstellen und andere Risiken im Code finden und beheben – und so schneller sicheren Code liefern.
- Posture Management für CI/CD: Unternehmen können ihre Tools für CI/CD (Continuous Integration/Continuous Delivery) absichern, um eine DevOps-Umgebung mit Zero-Trust-Ansatz zu schaffen. Wenn sie das Least-Privilege-Zugriffsprinzip durchgehend umsetzen, können sie Sicherheitsrisiken reduzieren und Compliance-Anforderungen erfüllen. So können Entwickler sehr einfach gefährliche Fehlkonfigurationen Ihrer DevOps-Plattform (z. B. GitHub, Jenkins, Nexus) erkennen und beheben. Zudem können sie Insider-Bedrohungen besser erkennen – von der Entfernung erforderlicher Sicherheitsprüfungen über Massenänderungen am Zugriff auf Benutzerkonten bis hin zu Änderungen an einem sensiblen Code-Repository.
- Sicherheit der Pipeline: Unternehmen können neue oder nicht konforme CI-Pipelines identifizieren und mit einem einzigen Klick anpassbare Sicherheitsrichtlinien auf ihre gesamte CI anwenden. Sie können spezifische Maßnahmen zur Durchsetzung dieser Richtlinien für ihre Produktions-Pipeline festlegen – um sicherzustellen, dass jedes neu erstellte Artefakt signiert und auf Schwachstellen, Geheimnisse und Fehlkonfigurationen von Infrastructure-as-Code gescannt wird.
- Software Bill of Materials – neu gedacht: Die Lösung macht es möglich, jeden Schritt und jede Aktion aufzuzeichnen – von dem Moment an, in dem ein Entwickler die letzte Code-Änderung in den Build-Prozess eingibt, bis zur Generierung des neuen endgültigen Artefakts. Das geht über die einfache Erstellung einer Software Bill of Materials (SBOM) hinaus. Mit der Signierung des Codes können Benutzer auch dessen Verlauf überprüfen und sich Gewissheit verschaffen, dass der von ihnen erstellte Code derselbe ist, der auch in der Entwicklungs-Toolkette landet.
- Health-Check: Die Lösung bewertet Integrität und Reputation von Open-Source-Code. Jedes Open-Source-Paket wird auf der Grundlage mehrerer Kriterien bewertet: Qualität, Wartungsfreundlichkeit, Beliebtheit und Risiko von Zwischenfällen in der Supply-Chain. Die Lösung kann automatisch verhindern, dass riskanter Code in die Code-Basis gelangt, und die Entwickler werden in Echtzeit über potenziell gefährliche Pakete informiert.
„Andere Anbieter lassen einen Teil der Gleichung aus“, kommentiert Amir Jerbi, CTO und Mitbegründer von Aqua Security. „Einige Lösungen konzentrieren sich beispielsweise auf die Erstellung, andere auf den Code und die Erstellung – wohingegen es unsere Lösung als einzige ermöglicht, proaktive Sicherheitsmaßnahmen über Code, Erstellung, Bereitstellung und Runtime hinweg anzubieten. Damit geben wir Entwicklern und Sicherheitsteams das nötige Vertrauen, um die Entwicklung Cloud-nativer Anwendungen voranzutreiben und Angriffe auf Supply-Chain zu verhindern.“
Joseph Elbaz, Leiter der Anwendungssicherheit bei Grubhub, ergänzt: „Angreifer haben es auf den Quellcode und seine Abhängigkeiten abgesehen, um Sicherheitslücken und Hintertüren in Anwendungen einzuschleusen. Die Sicherheitsrichtlinien von Aqua wenden proaktive Sicherheit auf den Prozess der Software-Supply-Chain und die dabei entstehenden Lösungen an. Das ist genau das, was wir benötigen, um die Qualität unserer Releases sicherzustellen.“
Weiterführende Informationen
Weitere Informationen zur neuen Lösung finden sich hier.