(Artikel vom 16.05.2024) Lacework, die datengesteuerte Cloud-native Application Protection Platform (CNAPP), kündigte eine Reihe von Erweiterungen in seinem Code Security Angebot an - darunter Smart Fix, eine Funktion zur automatischen Risikobeseitigung. Ziel des neuen Features ist es, die Sicherheit in der Cloud zu vereinfachen. Vorrangiges Anwendungsgebiet von Smart Fix ist die Identifizierung und Steuerung von bekannten Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures, kurz CVEs) in Drittanbieter- und Open-Source-Software. Smart Fix wird später auf der gesamten Lacework Plattform verfügbar sein, um beginnend mit der Cloud Sicherheit die Behebung von Schwachstellen während des gesamten Lebenszyklus von Cloud-nativen Anwendungen zu verbessern.
"Die neue Smart Fix-Technologie von Lacework zielt darauf ab, den Zeitaufwand für die Behebung von Sicherheitslücken und -risiken um den Faktor 10 bis 100 zu reduzieren. Dies geschieht, indem sie die derzeit von Entwicklern manuell durchgeführten Schritte automatisiert, zusätzliche Informationen bereitstellt und die leistungsstarke Code-to-Cloud-Plattform von Lacework nutzt", erklärt Patrice Godefroid, Distinguished Engineer bei Lacework.
Smart Fix für Software von Drittanbietern
Laceworks Smart Fix für Software von Drittanbietern bietet Entwicklern eine maßgeschneiderte Anleitung zur Behebung von Sicherheitslücken. Dazu ermittelt das neue Feature den kürzesten Aktualisierungspfad, mit dem alle aktuellen und potenziellen Schwachstellen im Code von Drittanbietern behoben werden können. Herkömmliche Software-Kompositionsanalyse-Produkte (Software Composition Analysis, kurz SCA) arbeiten mit einem Blick auf die einzelnen bekannten Schwachstellen und Anfälligkeiten (CVEs), anstatt die Anweisungen für alle CVEs in einem Paket zusammenzufassen und eine einzige Empfehlung auszusprechen. Das bedeutet, dass in einem Code-Paket mit mehreren CVEs jedes Einzelne widersprüchliche Anweisungen zur Fehlerbehebung geben kann, was wiederum zu folgenden Problemen führt:
-Unzureichende Anweisungen zur Behebung von Schwachstellen: Laut National Vulnerability Database werden monatlich durchschnittlich 1.300 neue Schwachstellen in öffentlichen Datenbanken registriert. Ältere CVEs verfügen dabei oft nicht über aktualisierte Anleitungen, um mit diesen neuen Zero-Days umgehen zu können. Für Entwickler, die an der Behebung von Schwachstellen in herkömmlichen SCA-Lösungen arbeiten, bedeutet dies einen enormen Mehraufwand.
-Überwältigende Anzahl von Schwachstellen: In der Regel gibt es mindestens zwei bis fünf CVEs pro Code-Paket, was es schwierig macht, den kürzesten Weg zur Behebung aktueller und zukünftiger potenzieller Schwachstellen zu finden.
Laceworks Smart Fix für Software von Drittanbietern bietet eine Lösung für die oben genannten Probleme. Um den optimalen Patch auszuwählen, evaluiert das neue Feature automatisch jeden potenziellen Patch für das anfällige Kundenpaket und die nachfolgenden Paketversionen. Dadurch wird sichergestellt, dass nicht nur die identifizierten CVEs gepatcht werden, sondern auch alle anderen potenziellen Schwachstellen, von denen bekannt ist, dass sie das Paket betreffen. Entwickler haben direkt in ihrer Codebasis über die Lacework Integrationen Zugriff auf die Smart Fix-Empfehlungen.
Im Laufe der Zeit wird Lacework seine Smart Fix-Technologie in andere Sicherheitsbereiche ausdehnen, darunter u.a. Codesicherheit, Identitäts- und Zugriffsmanagement, Angriffspfade und IaC (Infrastructure as Code)-Sicherheit. In jedem Fall analysiert das System alternative Wege zur Behebung des Problems, berechnet den kürzesten Weg zur Reduzierung des größten Risikos mit dem geringsten Aufwand und kann die Änderung sogar automatisch ausführen.
Weitere Ergänzungen
Neben Smart Fix für Software von Drittanbietern kündigt Lacework noch mehrere weitere neue Funktionen an, die die Sicherheitsanforderungen für Entwickler verringern, darunter:
-Anwendungskontext: Zählt jede Instanz auf, in der eine Anwendung auf eine anfällige Programmbibliothek verweist. Die Entwickler können beobachten, wie oft die jeweilige Bibliothek aufgerufen und wie sie genutzt wird. So erhalten sie den nötigen Kontext, um CVEs effektiv zu priorisieren.
-Differenzielle Analyse: Identifiziert CVEs, die von jedem einzelnen Entwickler eingeführt werden, wenn er den Code ändert und Pull Requests (PR) einreicht. Dadurch können Entwickler den Fokus auf die Entwicklungsgeschwindigkeit ihrer Codes und das Durchlaufen von Sicherheitskontrollpunkten legen, anstatt sich mit langjährigen Schwachstellen zu beschäftigen, die von anderen eingeführt wurden.
-Visual Studio (VS) Code-Erweiterung: Erkennt und warnt Entwickler vor anfälligen Drittanbieter- und Open-Source-Bibliotheken und -Paketen, während der Code geschrieben wird. Damit lassen sich Sicherheitsrisiken direkt in ihrer integrierten Entwicklungsumgebung (IDE) proaktiv angehen und Verzögerungen vermeiden, die durch die Entdeckung von Schwachstellen bei der Einreichung von Pull Requests (PR) oder Code-Check-Ins entstehen.
Diese Tools bieten Entwicklern und Entwicklungsteams einen neuen, effizienteren Weg, um Zeit zu sparen und sicheren Code effizient zu entwickeln, und zwar über das gesamte Spektrum der Code-Sicherheitsfunktionen hinweg.
Lacework sorgt für die Sicherheit von Unternehmen in der Cloud und ermöglicht es ihnen, Innovationen schneller und zuverlässiger umzusetzen. Cloud-Sicherheit erfordert einen grundlegend neuen Ansatz, und die Plattform von Lacework ist so konzipiert, dass sie mit dem Volumen, der Vielfalt und der Geschwindigkeit der Daten in der Cloud-Umgebung eines Unternehmens mitwächst: Code, Identitäten, Container und Multi-Cloud-Infrastrukturen. Nur Lacework bietet Sicherheits- und Entwicklungsteams eine korrelierte und priorisierte End-to-End-Ansicht, die die größten Risiken und einige der wichtigsten Sicherheitsereignisse identifiziert. Weitere Informationen finden Sie unter http://www.lacework.com/de.
Für den Inhalt des Artikels ist allein der verantwortlich. Pressewelle.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.