Корпорация Trend Micro представила первый облачный сервис, способный обеспечить эффективный анализ уязвимостей в открытом исходном коде и позволяющий снизить уровень риска разработки приложений и помочь специалистам в принятии правильных решений на основе полученных данных. Новое SaaS-решение создано совместно с компанией Snyk, лидером в сфере безопасности облачных приложений.
Trend Micro Cloud One – Open Source Security by Snyk — это первый на рынке сервис, обеспечивающий специалистам SecOps полную картину уязвимостей программного обеспечения с открытым исходным кодом. Компоненты с открытым исходным кодом используются разработчиками всё чаще, ведь они повышают скорость разработки, универсальны и отличаются высоким уровнем качества и масштабируемости. По данным Snyk, 80% кода приложений сегодня берётся из источников с открытым доступом.
В своём исследовании Market Guide for Software Composition Analysis компания Gartner указывает, что «программное обеспечение с открытым исходным кодом используется практически повсеместно. Это создает риски, связанные с уязвимостями, которые легко использовать, и с огромной «поверхностью» атак, которая позволяет вредоносному ПО и коду получить доступ к проприетарному коду и инфраструктуре. Также имеются правовые риски и проблемы с использованием интеллектуальной собственности».
По данным Snyk, за последние года был отмечен 2,5-кратный рост числа уязвимостей, связанных с открытым исходным кодом. Это значит, что обеспечение безопасности в ходе разработки ПО сейчас приобретает всё большую важность. Однако нестыковки в организации рабочих процессов, несовпадающие инструментарии и проблемы коммуникации между SecOps и DevOps никуда не исчезают сами по себе. И слишком часто это означает, что специалисты по безопасности сталкиваются с трудностями и не способны увидеть все риски, связанные с разработкой приложений. Новый облачный сервис от Trend Micro и Snyk способен устранить давние разногласия между SecOps и DevOps с помощью одного универсального решения, которое обеспечивает прозрачность процессов и рисков на раннем этапе жизненного цикла разработки и помогает эффективно защитить от них весь стек.
«Snyk и Trend Micro стремятся создать будущее индустрии кибербезопасности, в котором SecOps- и DevOps-специалисты эффективно работают вместе, чтобы повысить общий уровень безопасности в своих организациях, — отметила Гева Соломонович (Geva Solomonovich), технический директор направления глобального партнёрства в Snyk. — Появление технологий безопасности Snyk, созданных для разработчиков, в Cloud One компании Trend Micro позволит большему количеству клиентов бороться с рисками использования открытого исходного кода. При этом, его реализация в составе единой платформы сводит к минимуму необходимость в работе с несколькими поставщиками и инструментами. Мы надеемся на дальнейшее сотрудничество с Trend Micro в поиске инновационных и эффективных способов решения ключевых проблем безопасности для наших клиентов».
Практически все приложения, разработанные в мире за последние 25 лет, были созданы с использованием открытого исходного кода. Поскольку потребность в разработке новых облачных приложений продолжает расти, организации часто упускают из виду старые приложения, их компоненты, а также циклы обслуживания и обновления, что создаёт дополнительные сложности и риски.
«С помощью одного этого сервиса мы можем решить сразу несколько проблем и использовать современные технологии для устранения внутренних пробелов в коммуникации, — отметил Кевин Симзер (Kevin Simzer), директор по операционной деятельности Trend Micro. — Оно может сэкономить более 650 часов времени разработки для каждого приложения за счёт возможностей автоматизации, помогает управлять рисками с учётом лицензионных требований и даёт специалистам по безопасности шанс увидеть часть функционального кода нашей платформы, которая ранее была им недоступна».
Trend Micro Cloud One – Open Source Security by Snyk также позволяет SecOps-специалистам выявлять уязвимости и проблемы, связанные с лицензированием. Это даёт возможность более эффективно отслеживать риски, правильно расставлять приоритеты при их обнаружении и своевременно сообщать о возникновении таких рисков в процессе разработки проектов.
Основные преимущества сервиса:
- помощь в принятии решений по безопасности на основе полученных данных;
- непрерывный мониторинг уровней угроз;
- эффективная приоритезация рисков и рекомендации по их устранению.
Встроенные в решение возможности автоматизации также помогают SecOps-специалистам быстро выявлять и получать информацию о непрямых зависимостях в открытом исходном коде, о существовании которых в своих приложениях могут не знать ни службы безопасности, ни разработчики. По данным исследования Forrester «Общий экономический эффект от применения Snyk» (The Total Economic Impact of Snyk), применение этих возможностей позволяет сэкономить около восьми часов на каждой уязвимости.