Eine Lösung zum Schwachstellen-Management in Open-Source-Code entwickeln Trend Micro und Snyk. Damit können Security-Teams das Risiko von Sicherheitslücken in quelloffenem Code minimieren, sobald dieser integriert wird – ohne den Delivery-Prozess zu unterbrechen.
„Schwachstellen in Open-Source-Software, die immer stärker von Entwicklern genutzt wird, haben in den letzten drei Jahren um das 2,5-fache zugenommen“, erklärt Geva Solomonovich, CTO Global Alliances bei Snyk. „Durch undere Partnerschaft mit Trend Micro bekommen Security-Operations-Teams zum ersten Mal Einblick in Open Source Code und seine Risiken. Durch diese Zusammenarbeit möchten wir die technologische, prozessuale und organisatorische Lücke zwischen der IT-Security und den DevOps-Teams schließen.“
Laut Gartner können Open-Source-Bibliotheken erhebliche Schwachstellen enthalten. Zudem setze die Tatsache, dass Entwickler möglicherweise nicht einmal wissen, dass eine Komponente in eine Bibliothek eingebettet ist, diese unsichtbaren Schwachstellen aus.
„DevOps bilden das Zentrum von innovationsfreudigen Unternehmen und niemand kennt diese Teams so gut wie Snyk, insbesondere wenn es darum geht, Bedrohungen durch Open-Source-Schwachstellen vorzubeugen“, so Kevin Simzer, COO von Trend Micro. „Was wir ins Spiel bringen, ist praktisch ein virtueller Open-Source-Cyber-Sicherheitsexperte für Teams, die unsere Cloud-One-Plattform einsetzen. Gemeinsam können wir Sicherheitsprobleme lösen, bevor sie auftreten, einschließlich einer vollständigen Abdeckung von der Code-Erstellung bis zur Laufzeit und in jeder Art von Entwicklungsumgebung.“
Diese Kooperation ermögliche es den Teams, Schwachstellen in quelloffenem Code automatisch und sofort zu finden. Dies bietet Vorteile für Sicherheits- und Entwicklungsteams, einschließlich der Unterstützung bei der Einhaltung von ISO 27001, SOC 2 und anderen wichtigen Rahmenwerken und Standards.
Die gemeinsame Lösung soll dazu beitragen, eine engere Abstimmung zwischen Sicherheits- und Entwicklerteams voranzutreiben und damit einen grundlegenden Bewusstseinswandel in der Zusammenarbeit herbeizuführen. Sie wird als Teil der Trend Micro Cloud One-Plattform verfügbar sein. (rhh)
