Aqua Security Allies avec GitHub sur la sécurité des conteneurs

container security


Aqua Security a annoncé cette semaine que son scanner de vulnérabilité open source Trivy est maintenant disponible en tant que Action d'Aqua Security Trivy GitHub, qui permet aux équipes DevOps qui utilisent GitHub d'analyser à la fois le code source et les dépendances créées à l'aide d'une image de conteneur pour détecter les vulnérabilités.

Liz Rice, vice-présidente de l'ingénierie open source pour Aqua Security, affirme que la collaboration avec GitHub permettra aux organisations informatiques d'accélérer l'adoption des meilleures pratiques DevSecOps à mesure qu'elles évoluent vers la création d'applications basées sur des microservices à l'aide de conteneurs.

L'alliance avec GitHub fait suite à un outil gratuit d'analyse de code open source appelé CodeQL, qui est en train d'être rendu disponible. Trivy et CodeQL sont complémentaires en ce sens qu'ils permettent aux organisations informatiques d'appliquer une approche de défense en profondeur à DevSecOps, note Rice.

L'intégration d'Aqua Security Trivy Action détecte des vulnérabilités (CVE) dans les dépendances du package du système d'exploitation et les bibliothèques de langues intégrées dans une image de conteneur. Trivy Action alerte les développeurs des vulnérabilités connues via l'onglet de sécurité de l'interface utilisateur de GitHub. Il génère également une sortie au format SARIF (Static Analysis Results Interchange Format), qui fournit une norme pour le partage de données entre des outils de test de sécurité d'application statique (SAST) via une interface de programmation d'application (API) commune.

AquaGitHub

Rice affirme que les organisations en général adoptent les meilleures pratiques DevSecOps à un rythme plus rapide. Dans certains cas, les progrès sont guidés par les développeurs de leur propre initiative, tandis que d'autres organisations s'orientent vers la fusion des flux de travail entre les équipes DevOps et de cybersécurité. Dans le même temps, Trivy est utilisé comme scanner d'images de conteneurs par défaut dans Harbor, un projet de registre d'images de conteneurs open source sous la Cloud Native Computing Foundation (CNCF), ainsi que le registre de Docker Inc. et de la plateforme Mirantis Docker Enterprise. .

Trivy minimise la friction souvent associée aux processus DevSecOps en permettant d'effectuer des analyses localement par rapport à une base de données légère de vulnérabilités connues, note Rice. D'autres approches de numérisation d'images de conteneurs peuvent prendre plus de temps que de nombreux développeurs n'ont la patience de tolérer.

Indépendamment de la façon dont les développeurs sont encouragés à rechercher les vulnérabilités, Rice affirme que la prochaine étape consiste à automatiser autant que possible le processus de correction des vulnérabilités tout en minimisant le nombre de faux positifs générés par les outils d'analyse. Les faux positifs peuvent pousser un développeur à mettre à niveau inutilement un module qui finit par interrompre son application.

Alors que la responsabilité de la sécurité des applications continue d'être poussée vers les développeurs, la sécurité globale des environnements informatiques devrait s'améliorer régulièrement. Dans certains cas, les équipes de sécurité informatique peuvent même ne pas savoir comment cet objectif a été atteint, car dans la plupart des cas, elles ne jouent pas un rôle actif dans le processus de développement des applications.

En attendant, les développeurs feraient bien de se rappeler qu'il n'existe pas de code open source sécurisé. De nouvelles vulnérabilités sont découvertes même après le déploiement des applications dans des environnements de production. Les équipes informatiques avisées recherchent les vulnérabilités avant, pendant et après le déploiement des applications. Il ne suffit pas de se fier uniquement aux développeurs pour s'assurer que le code de leur application est sécurisé à une époque où de nombreuses vulnérabilités sont exploitées sur plusieurs environnements d'exécution et plates-formes hôtes de conteneurs.



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *