Dans cette ère moderne, où toute entreprise est une entreprise technologique, les logiciels sont les outils essentiels de la transformation des modèles numériques. Ils constituent les maillons essentiels pour gérer les activités quotidiennes, optimiser les performances et proposer des expériences numériques efficaces aux clients, aux partenaires commerciaux et aux employés. Ils peuvent aider à réinventer les modèles d’affaires, optimiser les processus et créer de nouvelles opportunités commerciales.
Des pipelines qui hébergent des données et des identifiants
De fait, les systèmes et processus d’intégration continue et de livraison continue constituent le cœur de toute organisation logicielle. Avec l’émergence du domaine DevOps et des architectures microservices, les systèmes et processus CI/CD ont radicalement transformé l’écosystème d’ingénierie logicielle. Cependant, face à l’augmentation des attaques sur ces environnements, les organisations doivent comprendre les risques et défendre leurs pipelines.Ces pipelines, cruciaux pour le développement de logiciels natifs du cloud et hébergeant des données et des identifiants sensibles, se situent souvent en dehors du champ de vision des équipes AppSec traditionnelles. Dans le but de combler ce déficit, Palo Alto entend protéger tout le circuit de distribution allant du code au cloud (CNAPP).
Une visibilité complète sur l’écosystème d’ingénierie logicielle
Considérant que les équipes AppSec sont souvent confrontées à une vue fragmentée du risque, dispersée à travers de nombreux outils isolés, ceci malgré le déploiement de divers scanners de code pour détecter les problèmes, le nouveau tableau de bord de sécurité des applications de Prisma Cloud unifie la visibilité à travers tout l’écosystème d’ingénierie. Il remédie au manque de visibilité sur les contributions des développeurs aux registres d’artefacts de confiance, sur les technologies utilisées, et sur la manière d’extraire la Software bill of materials (SBOM), la liste des composants d’un logiciel. Les équipes AppSec peuvent ainsi superviser les dépôts de code, les contributeurs, les technologies utilisées et les pipelines connectés, ainsi que les risques spécifiques au code, le tout à partir d’une seule interface.Une défense contre les dix principaux risques CI/CD de l’OWASP
Pour fournir des conseils sur les vecteurs d’attaque et les meilleures pratiques pour les atténuer, les chercheurs AppSec de Prisma Cloud ont développé et publié un benchmark reconnu par l’industrie : le projet des 10 principaux risques de sécurité CI/CD de l’OWASP.Analyse des chemins d’attaque via le graphique
Pour adopter DevSecOps, il est essentiel de surveiller la posture du pipeline de livraison, de s’assurer qu’il est protégé contre les dix principaux risques CI/CD. Outre l’étendue de la visibilité, le nouveau tableau de bord propose une visibilité continue sur les problèmes critiques du pipeline, avec une contextualisation comme les risques système et le nombre et la fréquence des événements, pour mesurer et alerter précisément sur la criticité.Les bases de données graphiques offrent un potentiel exploitable pour contextualiser les informations de sécurité. Le graphique d’Application Cloud de Prisma fournit une visualisation dynamique de l’écosystème de développement, permettant d’analyser l’environnement et les relations entre tous les artefacts, du code à la mise en production afin de mieux comprendre les relations et les intrications.