Recherche

Analyse de la composition logicielle (SCA)

Éliminez proactivement les vulnérabilités et les problèmes de conformité des licences open-source à l’aide d’intégrations pour les développeurs et d’une priorisation contextualisée
Demandez votre essai gratuit
Host Security Hero Front Image
Host Security Hero Back Image

Face à des vulnérabilités toujours plus furtives et omniprésentes, les entreprises ont besoin d’une approche plus rapide, plus simple et plus fluide pour gérer les risques liés à l’open-source. Or la frontière ténue entre les couches d’application et d’infrastructure cloud-native offre la possibilité de sécuriser le code à la source, en intégrant des fonctionnalités dédiées dans les outils DevOps. En misant sur une approche connectée de la conformité et de la sécurité des logiciels open-source, les organisations peuvent ainsi réduire le nombre de faux positifs, prioriser les résultats d’analyse et sécuriser le code plus rapidement.

Lisez l’étude d’Unit 42 sur les vulnérabilités du code open-source.

Téléchargez le rapport
1

Les applications cloud-native reposent sur l’open-source

Les logiciels open-source font partie des piliers du développement d’applications cloud-native, puisqu’ils permettent aux développeurs de prendre une longueur d’avance sans pour autant réinventer la roue. Toutefois, ces logiciels libres externes présentent des risques de sécurité et de conformité qu’il faut absolument intégrer à votre programme de sécurité cloud-native.
2

La multiplication des dépendances génère du risque

Les logiciels open source (OSS) contiennent de nombreuses dépendances à différents packages. Résultat, il est difficile de savoir où et comment sont utilisées ces composantes dans la stack applicative. De plus, des vulnérabilités sont souvent cachées dans les packages transitifs. Le suivi de ces vulnérabilités et de ces licences requiert une approche intégrée et continue.
3

Les outils de sécurité cloisonnés offrent une couverture hétérogène

Sans des informations complètes sur l’infrastructure d’une application, il est difficile de déterminer l’exposition et le risque réels d’une vulnérabilité. En recoupant les résultats des analyses de sécurité des applications et de l’infrastructure, les vulnérabilités sont mises au jour dans le contexte du codebase tout entier, ce qui favorise la priorisation et l’accélération des corrections.

Prisma Cloud permet aux développeurs d’éliminer facilement et rapidement les risques open-source

Prisma Cloud s’intègre aux outils DevOps ainsi qu’aux environnements de codage, de build, de déploiement et de runtime pour détecter en amont les vulnérabilités et les problèmes de conformité des packages open-source. Notre plateforme se distingue des autres solutions SCA : son modèle de données unique connecte les failles d’applications et d’infrastructure au niveau du code tout en fournissant une arborescence complète des dépendances ainsi qu’une correction granulaire des versions.
  • Vue consolidée des risques d’applications et d’infrastructure
  • Intégration aux outils et aux workflows de développement
  • Sécurité de bout en bout des packages et des images containerisées
  • Sources fiables
    Sources fiables
  • Intégrations intuitives pour les développeurs
    Intégrations intuitives pour les développeurs
  • Analyses illimitées de l’arborescence des dépendances
    Analyses illimitées de l’arborescence des dépendances
  • Correction des versions
    Correction des versions
  • Analyse des licences et rapports d’audit
    Analyse des licences et rapports d’audit
  • Règles d’application personnalisées
    Règles d’application personnalisées
LA SOLUTION PRISMA CLOUD

Une approche contextualisée et « developper-first » de l’analyse de la composition logicielle

Détection ultra précise et contextualisée

Bâtie sur les bases de données de vulnérabilités les plus fiables et connectée à l’ensemble de politiques d’infrastructure le plus complet du marché, l’analyse de la composition logicielle (SCA) de Prisma Cloud fournit aux développeurs tout le contexte nécessaire pour cerner les risques et implémenter rapidement les correctifs adéquats. Prisma Cloud offre une couverture open-source élargie et approfondie pour bloquer les futures vulnérabilités avant qu’elles ne vous affectent :

  • Analysez les langages et les gestionnaires de packages avec une précision inégalée

    Détectez les vulnérabilités de packages open-source dans tous les langages courants et réduisez les faux positifs grâce à l’apport de plus de 30 sources de données en amont.

  • Misez sur des analyses de pointe pour une confiance totale dans vos ressources open-source

    Prisma Cloud analyse les dépendances open-source où qu’elles se trouvent dans l’environnement. Elles sont ensuite comparées à des bases de données publiques, telles que la NVD, ainsi qu’au flux CTI de Prisma Cloud pour identifier les vulnérabilités et fournir les informations de correction nécessaires.

  • Recoupez les risques d’applications et d’infrastructure

    Détectez les vulnérabilités réellement exposées dans votre codebase pour accélérer l’élimination des faux positifs et la priorisation des remédiations.

  • Identifiez les vulnérabilités à tous les niveaux de dépendance

    Prisma Cloud ingère les données issues du gestionnaire de packages pour extrapoler l’arborescence des dépendances au maximum et ainsi repérer les risques open-source même les plus profondément ancrés.

  • Visualisez et inventoriez la supply chain logicielle

    Le graphe de la supply chain fournit un inventaire consolidé de vos pipelines et de votre code. La visualisation de toutes ces connexions et la génération d’une nomenclature des composants logiciels (SBOM) facilitent le suivi des risques applicatifs et précisent les contours de votre surface d’attaque.

Approche contextuelle

Intégration complète et correction flexible

Les développeurs sont les seuls à disposer du contexte complet concernant l’utilisation des bibliothèques open-source. Le meilleur moyen de corriger les vulnérabilités consiste donc à leur communiquer les feedbacks de sécurité. Grâce aux intégrations natives de Prisma Cloud aux outils de développement d’une part, et à l’extensibilité de nos outils CLI d’autre part, l’analyse SCA s’intègre pleinement aux workflows des développeurs. Les vulnérabilités sont ainsi détectées au bon endroit et au bon moment.

  • Intégration de la sécurité open-source aux outils et workflows de développement

    Permettez aux développeurs d’intégrer sereinement de nouveaux packages à leurs codebases en les informant en temps réel sur les vulnérabilités via des pull/merge requests IDE et VCS.

  • Création et application de politiques personnalisées sur tout le cycle

    Intégrez la gestion des vulnérabilités pour analyser les référentiels, les registres, les pipelines CI/CD et les environnements de runtime tout en déterminant quels logiciels sont bloqués ou autorisés.

  • Correction des erreurs sans changement susceptible de casser le code

    Prisma Cloud vous recommande la plus petite mise à jour nécessaire pour corriger les vulnérabilités sur les dépendances directes et transitives, sans risquer d’endommager certaines fonctions critiques du code. Corrigez simultanément plusieurs erreurs en choisissant à chaque fois la version appropriée pour chaque package.

  • Élaboration d’une nomenclature de composants logiciels

    Prisma Cloud repère les dépendances présentes dans les référentiels et dresse la nomenclature logicielle (SBOM) ainsi que la nomenclature d’infrastructure (IBOM), puis les exporte dans les formats standard.

Intégration complète et correction flexible

Intégration à la plateforme CNAPP

Le seul moyen de garantir une sécurisation complète des applications cloud-native consiste à rechercher les vulnérabilités dans toutes les couches et à toutes les étapes du cycle de développement. L’analyse des composants logiciels est l’une des multiples composantes de la plateforme de protection des applications cloud-native de Prisma Cloud, qui détecte les risques du code jusqu’au cloud.

  • Identification des risques présents dans le code pendant le développement et le test

    Vérifiez les packages et les images open-source pour confirmer l’absence de failles de sécurité et de conformité dans les référentiels (ex. : GitHub) et les registres (Docker, Quay, Artifactory, etc.).

  • Images de confiance, déploiements sécurisés

    Utilisez les fonctionnalités de scan d’image et d’analyse sandbox de container de Prisma Cloud pour identifier et bloquer les images malveillantes tout en assurant que seules les images autorisées atteignent l’environnement de production.

  • Contrôle de l’activité au sein des environnements de runtime

    Gérez les politiques d’exécution (runtime) depuis une console centralisée pour placer la sécurité au cœur de chaque déploiement. L’alignement des incidents sur le référentiel MITRE ATT&CK, les analyses forensiques détaillées ainsi que les métadonnées enrichies aident les équipes SOC à pister les menaces pesant sur les workloads cloud-native éphémères.

  • Sécurité contextualisée du runtime

    Détectez et éliminez les erreurs de configuration et les vulnérabilités conduisant à des compromissions de données et des problèmes de conformité pendant le runtime. Vos atouts : un inventaire complet des ressources cloud, une évaluation des configurations, des remédiations automatisées et plus encore.

Intégration à la plateforme CNAPP

Conformité des licences open-source

N’attendez pas une inspection manuelle pour découvrir qu’une bibliothèque de ressources logicielles open-source n’est pas conforme à vos exigences. Prisma Cloud répertorie pour vous les licences open-source afin d’identifier leurs dépendances. La plateforme peut alors signaler ou bloquer les déploiements grâce à des politiques de licence personnalisables.

  • Évitez les coûts liés aux violations de licences open-source

    Accélérez la remontée du feedback et bloquez les builds qui enfreignent les licences de packages open-source, et ce pour les langages et les gestionnaires de packages les plus utilisés.

  • Utilisez des politiques par défaut basées sur les standards du secteur

    Les politiques clé en main comprennent des niveaux de gravité définis pour les types de licences courants ainsi qu’une reconnaissance de schémas pour les langages non standard, ce qui permet de déterminer facilement l’usage acceptable.

  • Créez des politiques personnalisées pour veiller au respect des exigences de conformité internes

    Définissez des règles en fonction du type de licence pour répondre aux exigences internes propres au copyleft et aux ressources permissives. Bloquez les violations de politiques en amont grâce aux intégrations DevOps et évitez les soucis ultérieurs de non-conformité.

Conformité des licences open-source

Modules de sécurité du code

SÉCURITÉ DES INFRASTRUCTURES IAC

Intégration et automatisation de la sécurité IaC dans les workflows de développement

En savoir plus

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités contextualisées de sécurité du code et de conformité des licences open-source

En savoir plus

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Protection complète des pipelines et composants logiciels

En savoir plus

SÉCURITÉ DES SECRETS

Analyse full-stack et multidimensionnelle des secrets sur tous les référentiels et tous les pipelines

En savoir plus
Ressources

Découvrez ce que Prisma Cloud peut faire pour votre entreprise

Voir toutes les ressources
Fiche technique

Analyse de la composition logicielle (SCA)

Télécharger la fiche technique
VIDÉO

Qu’est-ce que l’analyse de la composition logicielle (SCA) ?

Visionner le replay
Livre blanc

Checklist de l’analyse de la composition logicielle (SCA)

Télécharger le livre blanc
ARTICLE

Licences open-source : les avantages d’une conformité proactive

Lire l’article
WEBINAR EN REPLAY

Gros plan : SCA

Visionner le replay
Fiche technique

Sécurité du code

Télécharger la fiche technique

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité

Entreprise

MENTIONS LÉGALES

Compte

Copyright © Palo Alto Networks 2024. Tous droits réservés.