CICADA8 и AppSec Solutions подтвердили совместимость продуктов для контроля цепочек поставок ПО
Российские компании CICADA8 и AppSec Solutions объявили о технологическом партнёрстве и представили интеграционное решение для защиты от атак на цепочки поставок программного обеспечения, подтверждена совместимость продуктов CICADA8 Dependency Firewall и платформы AppSec.Hub.
В современной разработке, указывается в сообщении, доля открытых компонентов может достигать 90% кода. Сторонние библиотеки способны содержать уязвимости, традиционные же методы их выявления часто срабатывают уже после сборки приложения, что ведёт к переписыванию кода и задержкам релизов.
В основе предложенной архитектуры — использование CICADA8 Dependency Firewall в качестве единого шлюза для внешних и внутренних артефактов. Решение эмулирует нативные API пакетных менеджеров (Docker V2, NPM, PyPi, NuGet и др.) и не требует установки агентов или сертификатов на устройства, пояснили в компаниях. Для перенаправления потоков загрузки в защищённый контур DevOps-инженерам достаточно указать адрес межсетевого экрана в настройках CI/CD-пайплайна. Решение работает с GitLab CI, Jenkins, TeamCity и другими оркестраторами без использования проприетарных плагинов.
Платформа AppSec.Hub, относящаяся к классу ASPM, консолидирует данные от межсетевого экрана и обеспечивает централизованное управление уязвимостями. Как сообщили разработчики, решение даёт возможность связывать технические риски с конкретными бизнес-продуктами, отслеживать метрики (среднее время устранения уязвимостей, уровень защищённости версий ПО), выполнять триаж уязвимостей и прослеживать их до конкретного проекта. Разработчикам, в свою очередь, предоставляются инструкции по устранению проблем, при этом число остановок сборок сокращается.
Читайте также
