Schutz für die Software Supply Chain DevSecOps-Lösung zur Kontrolle der Software-Lieferkette

Von Bernhard Lück |

Anbieter zum Thema

JFrog, Schöpfer der gleichnamigen DevOps-Plattform, stellt JFrog Advanced Security vor. Die binär-fokussierte Lösung soll den Austausch zwischen Entwickler-, Betriebs- und Sicherheitsteams gewährleisten, um Bedrohungen über die gesamte Software-Lieferkette hinweg abwehren zu können.

JFrog-CEO Shlomi Ben Haim: „Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden.“
JFrog-CEO Shlomi Ben Haim: „Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden.“
(Bild: JFrog)

JFrog Advanced Security sei die weltweit erste binär-fokussierte DevSecOps-Lösung, die ganzheitliche Sicherheitsabdeckung von jeder Quelle bis zu jedem Ziel bietet, so JFrog. Nativ integriert mit dem Artifactory Binary Repository und dem Software-Kompositions-Analyse-Tool, Xray würden die Fähigkeiten der neuen Sicherheitslösung den Anwendern eine optimale Plattform-Erfahrung und einen effektiven Schutzschild für umfassende Software-Supply-Chain-Sicherheit bieten.

Offener Quellcode stelle bei bei heutigen Cyberangriffen den größten Bedrohungsvektor dar, da Bedrohungsakteure versuchen, schwache Glieder in der Software-Lieferkette eines Unternehmens auszunutzen, z.B. kritische Schwachstellen, falsch konfigurierte Dienste oder geleakte Daten. Gleichzeitig seien bei Entwicklern, Sicherheitsverantwortlichen und Betriebsteams eine Vielzahl unterschiedlicher Sicherheitslösungen im Einsatz, die kumuliert nur einen unvollständigen Überblick über das Software-Ökosystem liefern könnten. Mit JFrog Advanced Security stehe nun eine einheitliche Plattform zur Verfügung, die für mehr Transparenz und Kontrolle über die Software-Lieferkette eines Unternehmens sorgen könne. Dies trage dazu bei, den Overhead zu reduzieren und schadhaften Code, der häufig die Entwicklungs-, Einsatz- und Laufzeitprozesse kompromittiert, schnell zu identifizieren.

„Die Tiefe der Sicherheits- und Abhilfelösungen, die Anbieter anbieten, wird durch die Daten begrenzt, die sie besitzen, schützen und analysieren. Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden. Das bedeutet, dass wir einzigartig positioniert sind, um Sicherheitslösungen von innen nach außen anzubieten, mit umfassenden und ganzheitlichen Lösungen“, sagt Shlomi Ben Haim, Mitbegründer und CEO von JFrog. „Dies ist notwendig in einer Welt, in der jeder Entwickler zur Zielscheibe geworden ist und jedes DevOps-Team weiß, dass der einzige Weg, die gesamte Lieferkette zu sichern, über Binärdateien führt. Unsere Kunden haben uns auf ihren Bedarf nach einer End-to-End-Abdeckung und -Kontrolle aufmerksam gemacht, und wir sind stolz darauf, unsere bisher fortschrittlichste Sicherheitslösung auf den Markt zu bringen.“

Die Aufgabe der Sicherheitsteams bestehe darin, alle notwendigen Maßnahmen zu ergreifen, um das Unternehmen umfassend zu schützen, während Entwickler dafür zuständig seien, hochwertige Software entwickeln, anstatt viel Zeit und Energie in die Behebung von Schwachstellen zu investieren. Beide Seiten engagieren sich für die Stärkung der Cyberabwehr des Unternehmens. Jedoch kann der Einsatz unterschiedlicher Systeme, unterschiedlicher oder redundanter Informationen und inkonsistenter Berichte diese Zusammenarbeit, ebenso wie die Schaffung eines detaillierten Bildes der Abhängigkeiten von Softwarepaketen, behindern.

„Viele der heutigen Software-Sicherheitslösungen für Unternehmen sind unzureichend, weil sie sich nur auf den Quellcode konzentrieren und darauf, was passiert, bevor die Software in Produktion geht“, sagt Asaf Karas, CTO von JFrog Security. „Um die Software-Lieferkette wirklich zu schützen, muss jedoch sowohl der Code in der Entwicklung als auch in der Produktion auf binärer Ebene berücksichtigt werden. Unsere Sicherheitslösung bietet ein reichhaltiges Set an Binär- und Quellcode-Analysefähigkeiten, die sich von der Entwickler- bis zur Produktionsumgebung in einer einzigen, integrierten DevOps-Plattform erstrecken – und hilft dabei, die Komplexität zu beseitigen und die Sicherheitserkennung, -bewertung und -behebung zu rationalisieren.“

Durch die Schaffung einer intelligenten Brücke zwischen Entwicklern, Sicherheits- und Betriebsteams ermögliche die Sicherheitslösung die Verwendung einer Single Source of Truth für die Erkennung, Bewertung und Behebung von kritischen Schwachstellen (CVE) sowie sicherheitsrelevanter Konfigurationseinstellungen. JFrog zufolge ergeben sich daraus folgende Vorteile:

  • Entdeckung potenzieller Leaks: Aufdecken von Passwörtern, Zugriffstoken und privaten Schlüsseln, die in einem Container durchgesickert sind oder offengelegt wurden, um das versehentliche Leaken von API-Schlüsseln, internen Token oder Anmeldeinformationen zu verhindern.
  • Schnelle Container-Kontextanalyse: Erkennen schadhafter Pakete oder der Verwendung von anfälligem Open-Source-Code und Open-Source-Schwachstellen zu einem frühen Zeitpunkt im Entwicklungsprozess.
  • Erkennung unsicherer Nutzung von Bibliotheken und Diensten: Sichtbarmachen der unsicheren Verwendung gängiger Open-Source-Softwarebibliotheken und -Dienste.
  • Überprüfung anfälliger Infrastructure-as-Code (IaC): Überprüfen von IaC-Dateien, um sicherzustellen, dass Cloud-Infrastrukturen nicht falsch konfiguriert sind und somit ausgenutzt werden können.
  • Einfach skalierbare Architektur: Ergänzung der Features um eine Legende von Artefakten innerhalb einer Organisation und neue Funktionen für eine umfassende und skalierbare Kontrolle und Absicherung des gesamten Softwareportfolios über On-Premise-, Cloud-, Multi-Cloud- und Hybrid-Implementierungen.
  • Native Integration: JFrog Artifactory bildet das Herzstück der Plattform und fungiert als universelles binäres Repository, das Unternehmen die sichere Kontrolle und Verwaltung von Aktualisierungsflüssen über die gesamte Software-Lieferkette in beliebigem Umfang ermöglicht.

(ID:48677706)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung