Buscar

Software Composition Analysis

Corrija vulnerabilidades en el código abierto y problemas en el cumplimiento normativo de las licencias de forma proactiva con integraciones de desarrollador y priorización basada en el contexto.
Solicitar una prueba gratuita
Host Security Hero Front Image
Host Security Hero Back Image

Dado que las vulnerabilidades cada vez son más generalizadas y evasivas, las organizaciones necesitan una forma más rápida, fácil y directa de corregir los riesgos en el código abierto. La delgada línea entre la infraestructura nativa en la nube y las capas de aplicación representa una oportunidad de integrar la seguridad en las herramientas de DevOps para proteger el código desde la fuente. Abordar la seguridad y el cumplimiento normativo aplicables al código abierto con una perspectiva conectada permite a las organizaciones minimizar los falsos positivos, priorizar los problemas detectados y proteger el código más rápidamente.

Lea el informe de vulnerabilidades en el código abierto publicado por Unit 42.

Descargar el informe
1

Las aplicaciones nativas en la nube dependen del código abierto

El software de código abierto es un componente fundamental de las aplicaciones nativas en la nube, ya que permite a los desarrolladores empezar a programar nuevas funciones sin tener que reinventar la rueda. Sin embargo, el software de código abierto de terceros, con todas sus ventajas, plantea riesgos para la seguridad y el cumplimiento normativo que todo programa de seguridad nativa en la nube debe contemplar.
2

La proliferación de dependencias alimenta el riesgo

El software de código abierto consta de muchas capas de dependencias de paquetes, con lo que resulta difícil saber dónde y cómo se está utilizando en las aplicaciones. Y lo que es peor: muchas veces las vulnerabilidades quedan ocultas en paquetes transitivos, y controlar esas vulnerabilidades y licencias requiere una metodología continua e integrada.
3

El uso de herramientas de seguridad aisladas se traduce en una cobertura incompleta

Sin conocer todo el contexto de la infraestructura de la aplicación, es difícil saber si una vulnerabilidad identificada está realmente expuesta en la aplicación o si el riesgo que presenta es bajo. Al conectar los problemas de seguridad encontrados en la aplicación y la infraestructura, las vulnerabilidades salen a la luz en el contexto de toda la base de código y eso permite priorizar mejor y agilizar las correcciones.

Prisma Cloud permite a los desarrolladores eliminar riesgos en el código abierto fácilmente sin ralentizar el ciclo de desarrollo.

Al integrarse en las herramientas de DevOps y en el código, la compilación, la implementación y en tiempo de ejecución, Prisma Cloud analiza los paquetes de código abierto de forma proactiva para buscar vulnerabilidades y problemas relacionados con el cumplimiento normativo de las licencias. Prisma Cloud es una solución de análisis de composición de software única en el mercado, ya que ofrece un modelo de datos que conecta las debilidades de la infraestructura y las aplicaciones a nivel de código, extrapolación de dependencias completa y correcciones selectivas con el cambio de número de versión.
  • Una vista unificada de los riesgos relacionados con la infraestructura conectada y las aplicaciones
  • Integración con las herramientas y los flujos de trabajo de los desarrolladores
  • Seguridad durante todo el ciclo de vida para paquetes e imágenes de contenedor
  • Se basa en fuentes de confianza
    Se basa en fuentes de confianza
  • Integraciones fáciles de usar para los desarrolladores
    Integraciones fáciles de usar para los desarrolladores
  • Análisis ilimitados de árboles de dependencias
    Análisis ilimitados de árboles de dependencias
  • Correcciones con el cambio de número de versión
    Correcciones con el cambio de número de versión
  • Análisis de licencias e informes de auditoría
    Análisis de licencias e informes de auditoría
  • Aplicación de reglas personalizada
    Aplicación de reglas personalizada
LA SOLUCIÓN PRISMA CLOUD

Análisis de composición de software centrado en los desarrolladores y basado en el contexto

Alta precisión y contextualización

El análisis de composición de software (SCA, por sus siglas en inglés) de Prisma Cloud bebe de las bases de datos de vulnerabilidades más reputadas y se conecta con la base de datos de políticas de infraestructura más robusta del sector para mostrar las vulnerabilidades con el contexto que los desarrolladores necesitan para valorar el riesgo e implementar las correcciones oportunas lo antes posible. Prisma Cloud ofrece toda la cobertura de código abierto que necesita para detener la próxima gran vulnerabilidad:

  • Analice en distintos lenguajes y gestores de paquetes con una precisión imbatible

    Identifique vulnerabilidades en paquetes de código abierto con compatibilidad con los lenguajes más utilizados y más de 30 fuentes de datos emergentes para minimizar falsos positivos.

  • Identifique vulnerabilidades en paquetes de código abierto con compatibilidad con los lenguajes más utilizados y más de 30 fuentes de datos emergentes para minimizar falsos positivos.

    Prisma Cloud analiza las dependencias de código abierto estén donde estén y las compara con bases de datos públicas como NVD y el flujo de inteligencia de Prisma Cloud para identificar vulnerabilidades y mostrar información importante sobre su corrección.

  • Conecte los riesgos que afectan a la infraestructura y a las aplicaciones

    Filtre las vulnerabilidades que están expuestas de verdad en su base de código para combatir los falsos positivos y priorizar las correcciones lo antes posible.

  • Identifique las vulnerabilidades a cualquier profundidad de dependencia

    Prisma Cloud procesa datos de gestión de paquetes para extrapolar los árboles de dependencias hasta la capa más alejada e identificar los riesgos ocultos que afectan al código abierto.

  • Visualice y catalogue su cadena de suministro de software

    Supply Chain Graph ofrece un inventario consolidado de sus ciclos y código. Con una visualización de todas estas conexiones, junto con la capacidad de generar una lista de materiales de software (SBOM, por sus siglas en inglés), resulta más fácil llevar el control de los riesgos que afectan a las aplicaciones y conocer mejor su superficie de ataque.

Tiene en cuenta la infraestructura

Totalmente integrado con correcciones flexibles

Solo los desarrolladores tienen todo el contexto de dónde y cómo se emplean las bibliotecas de código abierto, así que la mejor manera de corregir las vulnerabilidades es darles acceso a comentarios sobre el código. Gracias a las integraciones de herramientas de desarrollo nativas de Prisma Cloud y a la capacidad de ampliación de nuestras herramientas de interfaz de línea de comandos (CLI, por sus siglas en inglés), SCA se integra completamente con los flujos de trabajo de los desarrolladores para que las vulnerabilidades salgan a la luz cuando y donde es necesario.

  • Integre la seguridad del código abierto con las herramientas y los flujos de trabajo de los desarrolladores

    Facilite información sobre las vulnerabilidades en tiempo real a través de sus entornos de desarrollo integrado (IDE, por sus siglas en inglés) y peticiones de validación/fusión por VCS para que los desarrolladores puedan integrar nuevos paquetes en sus bases de código con confianza.

  • Cree y aplique políticas personalizadas durante todo el ciclo de vida

    Integre la gestión de vulnerabilidades para analizar repositorios, registros, ciclos de CI/CD y entornos en tiempo de ejecución, y decida qué software bloquear o permitir.

  • Solucione problemas sin introducir cambios fatales

    Reciba la actualización mínima recomendada para corregir vulnerabilidades en dependencias directas y transitivas sin correr el riesgo de introducir cambios que bloqueen funciones críticas. Corrija varios problemas a la vez con la flexibilidad de seleccionar versiones concretas de cada paquete.

  • Cree una lista de materiales de software

    Prisma Cloud encontrará las dependencias de los repositorios y creará una lista de materiales de software y otra de materiales de infraestructura (SBOM e IBOM, respectivamente, por sus siglas en inglés), y las exportará en formatos estándar.

Totalmente integrado con correcciones flexibles

Parte de la CNAPP

La única forma de garantizar una cobertura completa a la hora de proteger las aplicaciones nativas en la nube es analizar cada capa y cada paso del ciclo de desarrollo en busca de vulnerabilidades. SCA es el componente de la plataforma de protección de aplicaciones nativas en la nube de Prisma Cloud que identifica el riesgo del código a la nube.

  • Identifique riesgos en el código mientras los desarrolladores compilan y prueban el software

    Compruebe las imágenes y los paquetes de código abierto para buscar vulnerabilidades y problemas de cumplimiento normativo en los repositorios, como los de GitHub, y registros, como los de Docker, Quay y Artifactory, entre otros.

  • Limite las implementaciones a imágenes aprobadas

    Utilice las funciones de análisis de imágenes y sandboxing de contenedores de Prisma Cloud para identificar y bloquear las imágenes maliciosas antes de que lleguen a producción.

  • Bloquee la actividad en cualquier entorno en tiempo de ejecución

    Gestione las políticas de tiempo de ejecución desde una consola centralizada para asegurarse de proteger todo el proceso de desarrollo. Con identificación de incidentes según el marco de MITRE ATT&CK, además de información forense detallada y gran cantidad de metadatos, los equipos del centro de operaciones de seguridad (SOC, por sus siglas en inglés) podrán controlar las amenazas que afectan a las cargas de trabajo nativas en la nube efímeras.

  • Seguridad en tiempo de ejecución basada en el contexto

    Detecte y prevenga errores de configuración y vulnerabilidades capaces de provocar brechas de datos, así como infracciones del cumplimiento normativo en tiempo de ejecución, con un inventario completo de activos en la nube, evaluaciones de la configuración, correcciones automatizadas, etc.

Parte de la CNAPP

Cumplimiento normativo de las licencias de código abierto

No espere hasta revisar el cumplimiento normativo de forma manual para enterarse de que una biblioteca de código abierto incumple los requisitos de uso de sus licencias. Prisma Cloud cataloga las licencias de código abierto de las dependencias y puede bloquear implementaciones basadas en políticas de licencia personalizables o avisar de su presencia:

  • Ahórrese costosas infracciones de las licencias de código abierto

    Facilite información lo antes posible y bloquee las compilaciones que incumplan las condiciones de uso de las licencias de los paquetes de código abierto, con compatibilidad con todos los lenguajes y gestores de paquetes más extendidos.

  • Aplique políticas prediseñadas basadas en usos estándar del sector

    Las políticas listas para usar vienen con distintos niveles de gravedad para los tipos de licencia más comunes y cotejo de patrones para tipos de licencia en lenguaje no estándar para ayudarle a determinar el uso aceptable.

  • Cree políticas personalizadas para aplicar requisitos de cumplimiento normativo internos

    Configure reglas basadas en el tipo de licencia para adaptarlas a los requisitos internos relativos al copyleft y las licencias permisivas. A la larga, bloquear las violaciones de las políticas al principio del ciclo de desarrollo por medio de integraciones con las herramientas de DevOps permite a las organizaciones evitarse los quebraderos de cabeza de tener que lidiar con la infracción de las licencias.

Cumplimiento normativo de las licencias de código abierto

Módulos de seguridad del código

INFRASTRUCTURE AS CODE SECURITY

Seguridad de la infraestructura IaC automatizada e integrada en los flujos de trabajo de desarrollo

Más información

SOFTWARE COMPOSITION ANALYSIS (SCA)

Funciones que tienen en cuenta el contexto para garantizar la seguridad del código abierto y el cumplimiento normativo de las licencias

Más información

SOFTWARE SUPPLY CHAIN SECURITY

Protección integral de los componentes y ciclos de software

Más información

SECRETS SECURITY

Análisis de secretos multidimensional de toda la solución en cualquier repositorio y ciclo

Más información
Recursos destacados

Descubra todo lo que puede hacer Prisma Cloud por su empresa

Ver todos los recursos
Ficha técnica

Software Composition Analysis

Descargar
VÍDEO

¿Qué es el análisis de composición de software (SCA)?

Ver ahora
Informe técnico

Análisis de composición de software (SCA): lista de comprobación

Descargar
BLOG

Por qué necesita una estrategia proactiva de cumplimiento normativo para las licencias de código abierto

Leer el blog
SEMINARIO WEB A PETICIÓN

Demostración a fondo del producto: SCA

Ver ahora
Ficha técnica

Seguridad del código

Descargar

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas

Empresa

Avisos legales

Cuenta

Copyright © 2024 Palo Alto Networks. Todos los derechos reservados.