代码安全性

Cortex® Cloud 为云原生基础架构和应用程序提供了自动安全保护,并与开发人员工具集成
Code Security Front

云原生应用开发节奏快且复杂。对于安全团队来说,要跟上进度可能是一种挑战。然而,一些 DevOps 最佳实践提供了一个机会,可以利用自动化来确保应用程序和基础设施从代码到云™ 的安全,从而减轻这种压力。

在所有现代架构和软件供应链中保护代码的单一工具。

Cortex Cloud 在整个软件开发周期中嵌入了全面的安全性。该平台可在开发生命周期的早期识别漏洞、错误配置、违规行为和暴露的机密内容。通过对 IaC 模板、容器映像、开源软件包和交付管道的扫描支持,Cortex Cloud 以开源社区和多年的专业知识及威胁研究为后盾,提供代码安全性。通过关联的可视性和策略控制,工程团队可以在不离开工具的情况下保护整个堆栈,而安全团队可以确保部署的所有代码都是安全的。
  • 支持多种语言、运行时和框架
  • 从构建时到运行时的一致控制
  • 嵌入在 DevOps 工具中
  • 基础设施即代码 (IaC) 扫描
    基础设施即代码 (IaC) 扫描
  • 软件构成分析 (SCA)
    软件构成分析 (SCA)
  • 机密扫描
    机密扫描
  • 策略即代码
    策略即代码
  • OSS 许可证合规性
    OSS 许可证合规性
CORTEX CLOUD 解决方案

我们的代码安全方法

基础架构即代码扫描

“基础架构即代码”提供了一个在云基础设施部署到生产环境之前用代码保护云基础设施的机会。Cortex Cloud 通过自动化以及将安全性嵌入 Terraform、CloudFormation、Kubernetes、Dockerfile、无服务器和 ARM 模板等 DevOps 工具的工作流程,简化了整个软件开发生命周期的安全性。

  • 自动执行代码中的云安全扫描

    在软件开发生命周期的每一步添加对错误配置和暴露机密内容的自动检查。

  • 利用开源和社区的力量

    Checkov 是领先的开源策略即代码工具,为 Cortex Cloud 基础设施即代码安全提供动力,它得到了活跃社区的支持,下载量高达数百万次。

  • 在开发人员工具中直接嵌入代码安全反馈

    Cortex Cloud 与 IDE、VCS 和 CI/CD 工具原生集成,帮助开发人员在现有工作流程中交付安全代码。

  • 包括错误配置的深入情境

    Cortex Cloud 可自动跟踪 IaC 资源的依赖关系以及最新的开发人员修饰符,以改善大型团队的协作。

  • 在代码中提供自动反馈和修复

    自动获取错误配置的请求评论以及自动提取请求,并对已识别的错误配置提交修复和智能修复。

基础架构即代码扫描

软件构成分析

大多数现代应用代码都由开源依赖项组成。缺乏对于实际使用的依赖项的了解,以及对取得突破性变化的恐惧,导致漏洞无法修复。Cortex Cloud 与开发人员工具集成,可识别开源软件包及其完整依赖树中的漏洞,同时支持灵活、精细的碰撞修复。

  • 利用业界领先的资源,在开源安全方面获得十足的信心

    Cortex Cloud 可随时随地扫描开放源代码依赖关系,并将其与 NVD 和 Cortex Cloud Intelligence Stream 等公共数据库进行比较,以识别漏洞。

  • 识别任何依赖详情和上下文中的漏洞

    Cortex Cloud 可摄取软件包管理器的数据,将依赖关系树推断到最远的一层,并将基础架构和应用程序风险联系起来,从而更快地确定补救措施的优先级。

  • 在整个开发生命周期中集成开源安全性

    通过 IDE 和 VCS 向开发人员提供实时漏洞反馈获取/合并请求,并根据漏洞阈值阻止构建,以主动保护您的云原生环境安全。

  • 在不进行重大更改的情况下修复问题

    获取推荐的最少更新以修复直接和可传递依赖项中的漏洞,而不会有破坏关键功能的风险。通过为每个数据包选择精细版本的灵活性,一次修复多个问题。

软件构成分析

机密安全

犯罪分子只需一分钟就可以找到并滥用暴露在网上的凭据。使用 Cortex Cloud 在生产前识别机密。使用签名和启发式方法,在开发环境中和构建时查找和删除 IaC 模板和容器映像中的机密。

  • 在几乎所有文件类型中查找机密内容

    将基础架构中的密码和令牌识别为代码模板、黄金镜像和 Git 存储库配置。

  • 在开发人员的工具中展示机密内容

    借助 IDE、CLI、预提交和 CI/CD 工具,尽早向开发人员展示代码中的硬编码机密内容。

  • 多维机密扫描

    使用正则表达式、关键字或经过微调的基于熵的标识符来定位常见和不常见的机密内容。

机密安全

策略即代码

传统的安全测试是由不同的企业使用不同的工具来执行的,这造成了孤立的、难以复制的控制。Cortex Cloud 提供“策略即代码”功能,将控制内置于代码中,可根据实时代码库进行复制、版本控制和测试。

  • 使用代码构建和控制策略

    在 Python 和 YAML 中为 IaC 模板定义、测试和版本控制检查列表、跳过列表和基于图像的自定义策略。

  • 在代码中部署和配置帐户和代理

    使用 Terraform 载入帐户、部署代理和配置运行时策略,包括基于 OpenAPI 和 Swagger 文件的摄取和保护。

  • 针对错误配置利用开箱即用和自定义策略

    Cortex Cloud 开箱即用,代码中内置了几百种策略,允许您为云资源和 IaC 模板添加自定义策略。

  • 直接就正在编写的代码提供反馈

    IaC 模板通过自动修复、拉取/合并请求注释及拉取/合并请求自动修复而具有直接反馈。

策略即代码

OSS 许可证合规性

每个公司都有自己可接受的开源许可证使用策略。不要等到手动合规性审查后才发现开源代码库不符合您的需求。Cortex Cloud 对依赖关系的开源许可证进行编目,并可根据可定制的许可证策略提醒或阻止部署。

  • 避免代价高昂的开源许可证违规

    尽早提供反馈并阻止基于开源数据包许可证违规的构建行为,为所有常用语言和数据包管理程序提供支持。

  • 扫描 git 和非 git 存储库是否存在问题

    Cortex Cloud 原生集成了 GitHub 和 Bitbucket 等版本控制系统,但也可以使用我们的命令行工具扫描任何类型的版本库。

  • 使用默认规则或自定义警报和阻止

    按许可证类型设置警报和阻止阈值,以匹配非盈利版权和允许的许可证的内部要求。

 OSS 许可证合规性

更多应用程序安全功能

基础架构即代码安全

嵌入到开发人员工作流程中的自动化 IaC 安全性

软件构成分析 (SCA)

高度准确和情境感知的开源安全性和许可证合规性

软件供应链安全

应用程序开发环境中基于图的供应链安全

机密安全

存储库和管道中的全栈、多维机密内容扫描。