Recherche

Sécurité du code

Cortex® Cloud automatise la sécurité des infrastructures et applications cloud-native en l’intégrant directement aux outils de développement.

Sécurité du code – Avant

Le développement d’applications cloud-native est un processus si rapide et complexe que les équipes de sécurité ont souvent du mal à tenir la cadence. La solution vient pourtant des pratiques DevOps elles-mêmes, dont certaines ont été pensées dans une optique d’automatisation de la sécurité Code to Cloud des applications et des infrastructures sous-jacentes.

Le développement Agile requiert une sécurité automatisée

Les revues de sécurité traditionnelles vont à l’encontre des principes de l’Agile et tendent à ralentir les opérations. Pour faciliter les remédiations de code sans ralentir la cadence des sprints, la sécurité doit être présente à toutes les phases du cycle de développement, de la pull request à l’exécution (runtime), en passant par les builds d’intégration continue et les registres.

Les architectures cloud-native nécessitent des outils dédiés

L’Infrastructure as Code (IaC), les logiciels open-source (OSS) et les microservices permettent aux développeurs d’utiliser les meilleurs outils, langages et clouds disponibles pour chaque service. Pour les équipes de sécurité, il est impossible de maîtriser toutes les compétences requises pour chacun de ces composants. Elles ont donc besoin d’outils de sécurité automatisés, capables de détecter les vulnérabilités, les erreurs de configuration et les secrets exposés avant le déploiement.

Les outils cloisonnés de sécurité du code surchargent les équipes

La sécurité des environnements de développement et d’exécution permet un échange constant de feedback entre les équipes. Mais ces dernières requièrent des outils intégrés, capables de couvrir toutes les vulnérabilités, les erreurs de configuration, les dépendances, les secrets exposés et le contexte réseau, ceci pour minimiser le nombre de faux positifs, prioriser les menaces les plus sérieuses et réduire le risque du code jusqu’au cloud.

Un seul et même outil pour la sécurité du code sur les environnements modernes et les supply chains logicielles

Cortex Cloud embarque une sécurité complète sur l’ensemble du cycle de développement logiciel. La plateforme parvient ainsi à identifier les vulnérabilités, les erreurs de configuration, les problèmes de conformité et les secrets exposés dès les premiers stades du cycle de développement. Ses analyses couvrent aussi bien les modèles IaC, les images de containers, les packages open-source et les pipelines de livraison pour une sécurité optimale du code, renforcée par la force collaborative de sa communauté open-source et des années d’expertise et de recherches sur les menaces. En associant la visibilité et les contrôles de politiques, les équipes d’ingénierie logicielle protègent la stack directement depuis leurs propres outils, tandis que les équipes de sécurité veillent à la protection du code déployé.
  • Prise en charge de différents langages, environnements d’exécution et frameworks
  • Contrôles homogènes, du développement à l’exécution
  • Intégration aux outils DevOps
  • Analyse IaC (Infrastructure-as-Code)
    Analyse IaC (Infrastructure-as-Code)
  • Analyse de la composition logicielle (SCA)
    Analyse de la composition logicielle (SCA)
  • Analyse des secrets
    Analyse des secrets
  • Policy-as-Code
    Policy-as-Code
  • Conformité des licences open-source
    Conformité des licences open-source
LA SOLUTION CORTEX CLOUD

Notre approche de la sécurité du cloud

Analyse des infrastructures IaC

De par sa nature même, l’IaC permet de sécuriser l’infrastructure cloud directement dans le code, avant que cette dernière n’atteigne l’environnement de production. Cortex Cloud rationalise la sécurité tout au long du cycle de développement logiciel, grâce d’une part à ses fonctions d’automatisation et d’autre part à son intégration aux workflows dans les outils DevOps (modèles Terraform, CloudFormation, Kubernetes, Dockerfile, Serverless et ARM).

  • Analyse de sécurité automatisée

    Ajoutez des contrôles automatisés afin de détecter les erreurs de configuration et les secrets exposés à chaque étape du cycle de développement.

  • Outil et communauté open-source

    Les fonctionnalités de sécurité IaC de Cortex Cloud s’appuient sur Checkov, un outil d’analyse IaC open-source de pointe qui bénéficie du soutien d’une communauté active et a déjà été téléchargé plusieurs millions de fois.

  • Feedback de sécurité intégré dans les outils de développement

    Cortex Cloud s’intègre en natif aux environnements IDE, aux systèmes VCS et aux outils CI/CD pour aider les développeurs à sécuriser le code dans leurs workflows.

  • Contextualisation des erreurs de configuration

    Cortex Cloud piste automatiquement les dépendances de ressources IaC, ainsi que les auteurs des modifications les plus récentes pour améliorer la collaboration au sein des équipes de grande taille.

  • Feedback et corrections automatiques du code

    Automatisez les commentaires de révision du code, la correction des pull requests et des commits ainsi que les Smart Fixes pour éliminer les erreurs de configuration.

En savoir plus
Analyse des infrastructures IaC

Analyse de la composition logicielle (SCA)

Aujourd’hui, le code applicatif repose très souvent sur des dépendances open-source. Mais par manque de visibilité sur les dépendances utilisées et par crainte d’introduire des changements susceptibles d’endommager le code, certaines vulnérabilités sont souvent laissées telles quelles. Cortex Cloud s’intègre aux outils de développement pour identifier les vulnérabilités dans les packages open-source et retracer toute l’arborescence des dépendances. La plateforme facilite ainsi l’application flexible et granulaire des correctifs.

  • Analyses de pointe pour une confiance totale dans vos ressources open-source

    Cortex Cloud analyse les dépendances open-source où qu’elles se trouvent dans l’environnement. Ces dernières sont ensuite comparées à des bases de données publiques, telles que la NVD, ainsi qu’aux données de la fonctionnalité Intelligence Stream de Cortex Cloud pour identifier les vulnérabilités.

  • Identification des vulnérabilités en contexte et à tous les niveaux de dépendance

    Cortex Cloud ingère les données issues du gestionnaire de packages pour extrapoler l’arborescence des dépendances au maximum, identifier les risques applicatifs et d’infrastructure, et ainsi accélérer la remédiation par ordre de priorité.

  • Intégration de la sécurité open-source tout au long du cycle de développement

    Informez en temps réel vos développeurs des vulnérabilités via des Pull/Merge Requests IDE et VCS. Bloquez les builds qui dépassent les seuils de vulnérabilité pour garantir une sécurité proactive de votre environnement cloud-native.

  • Correction des erreurs sans changement susceptible de casser le code

    Prisma Cloud vous recommande la plus petite mise à jour nécessaire pour corriger les vulnérabilités sur les dépendances directes et transitives, sans risquer d’endommager certaines fonctions critiques du code. Corrigez simultanément plusieurs erreurs en choisissant à chaque fois la version appropriée pour chaque package.

Analyse de la composition logicielle (SCA)

Sécurité des secrets

Les attaquants n’ont besoin que d’un bref instant pour détecter et détourner des identifiants exposés en ligne. Grâce à Cortex Cloud, vos équipes recourent aux signatures et à l’heuristique pour repérer et supprimer les secrets contenus dans les modèles IaC et les images de containers, dans les environnements de développement et pendant la compilation.

  • Identification des secrets dans tous types de fichiers

    Identifiez les mots de passe et les jetons dans les modèles IaC, les images gold et les configurations de référentiels Git.

  • Localisation des secrets dans les outils des développeurs

    Trouvez rapidement les secrets codés en dur dans les outils de développement (IDE, CLI, pré-commit et CI/CD).

  • Analyse multidimensionnelle des secrets

    Utilisez des expressions régulières, des mots-clés ou des identificateurs personnalisés basés sur l’entropie afin de localiser les secrets courants ou plus inhabituels.

Analyse des secrets

Policy-as-Code

Les tests de sécurité traditionnels sont confiés à des équipes distinctes, qui utilisent des outils disparates. Cette approche cloisonnée rend donc les contrôles extrêmement difficiles à répliquer. Les politiques sous forme de code (Policy-as-Code) de Cortex Cloud intègrent des contrôles de sécurité en amont, directement dans le code. Ils sont faciles à reproduire, sous gestion de version et testés par rapport aux référentiels de code live.

  • Conception et contrôle des politiques dans le code

    Définissez, testez et gérez sous version les check-lists, les skip-lists et les politiques personnalisées basées sur les graphes dans Python et YAML pour les modèles IaC.

  • Déploiement et configuration des comptes et agents dans le code

    Utilisez Terraform pour intégrer des comptes, déployer des agents et configurer des politiques d’exécution, notamment l’ingestion et la protection basées sur les fichiers OpenAPI et Swagger.

  • Politiques prêtes à l’emploi et personnalisées

    Cortex Cloud embarque des centaines de politiques intégrées sous forme de code et vous permet d’ajouter vos propres politiques personnalisées pour les ressources cloud et les modèles IaC.

  • Intégration directe du feedback

    Les modèles IaC affichent des commentaires et des correctifs automatiques pour les pull/merge requests.

En savoir plus
Policy-as-Code

Conformité des licences open-source

Chaque entreprise possède ses propres politiques d’utilisation de licences open-source. N’attendez pas une inspection manuelle pour découvrir qu’une bibliothèque de ressources logicielles open-source n’est pas conforme à vos exigences. Cortex Cloud répertorie pour vous les licences open-source afin d’identifier leurs dépendances. La plateforme peut alors signaler ou bloquer les déploiements grâce à des politiques de licence personnalisables.

  • Évitez les coûts liés aux violations de licences open-source

    Accélérez la remontée du feedback et bloquez les builds qui enfreignent les licences de packages open-source, et ce pour les langages et les gestionnaires de packages les plus utilisés.

  • Analysez les référentiels Git et autres

    Cortex Cloud s’intègre en natif à des systèmes de contrôle de versions (VCS) comme GitHub et Bitbucket, mais peut aussi analyser n’importe quel type de référentiel via notre outil de ligne de commande.

  • Utilisez des règles par défaut ou personnalisées pour les alertes et le blocage

    Définissez des seuils d’alerte et de blocage en fonction du type de licence pour répondre aux exigences internes propres au copyleft et aux ressources permissives.

Conformité des licences open-source

Autres capacités de sécurité des applications

SÉCURITÉ DES INFRASTRUCTURES IAC

Intégration et automatisation de la sécurité IaC dans les workflows de développement

En savoir plus

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités ultra précises et contextualisées de sécurité du code et de conformité des licences open-source

En savoir plus

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Sécurité de la supply chain basée sur les graphes pour les environnements de développement applicatif

En savoir plus

SECRETS SECURITY

Analyse full-stack et multidimensionnelle des secrets sur tous les référentiels et tous les pipelines

En savoir plus

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité