Компанія Endor Labs оголосила про інтеграцію своїх інструментів аналізу складу програмного забезпечення (SCA) в GitHub, що розширює її попередній альянс із Microsoft. Про це повідомляє DevOps.
Тепер DevOps-команди зможуть отримати доступ до SCA-інструментів Endor Labs через підписку на GitHub Advanced Security та Dependabot — платформи для управління залежностями у вихідному коді.
Інтеграція SCA в GitHub: що це дає DevOps-командам
За словами генерального директора Endor Labs Варуна Бадхвара, інтеграція допоможе командам розробників швидше виявляти й усувати вразливості безпосередньо в GitHub Actions.
«Ця інтеграція дасть можливість визначати, чи справді вразлива функція може бути досягнута кібератакою, а не змушуватиме розробників витрачати час на фіксацію загроз, які не становлять реального ризику», — зазначив Бадхвар.
Зі зростанням популярності інструментів штучного інтелекту для розроблення, кількість потенційних вразливостей у коді збільшується, що може перевантажити команди DevSecOps. Використання автоматизованих SCA-інструментів дасть змогу упереджувати появу ризиків ще на етапі написання коду.
Microsoft, GitHub та Endor Labs: боротьба з вразливостями на ранніх етапах
До цього Microsoft уже інтегрувала SCA-інструменти Endor Labs у Microsoft Cloud Defender — платформу CNAPP для захисту хмарних застосунків. Співпраця з GitHub дає можливість просунутися ще далі вліво (Shift Left) у ланцюжку розробки, щоб усувати вразливості ще до потрапляння коду в продакшн.
Хоча DevSecOps значно розвинувся, проблема безпеки програмного забезпечення все ще залишається гострою. Розробники:
1) не завжди приділяють достатньо часу виправленню вразливостей у вже розгорнутих застосунках;
2) зазвичай виправляють найпростіші проблеми, а не найбільш небезпечні;
3) змушені самостійно аналізувати довгі списки потенційних загроз, складені кібербезпековими командами, без контексту реальної загрози.
Це призводить до того, що деякі відомі вразливості залишаються без виправлення досить довго, чим користуються кіберзлочинці.
«Кіберзлочинці розраховують на те, що в компаніях не вистачає часу та ресурсів для оперативного виправлення вразливостей», — зазначають в Endor Labs.
SCA-аналіз як стандарт безпеки DevOps
Очікування бізнесу щодо безпеки програмного забезпечення зростають, і розробники несуть усе більшу відповідальність за вразливості у продакшні. Використання автоматизованих SCA-інструментів стає необхідним елементом DevSecOps для ефективного захисту ланцюжка постачання програмного забезпечення.
Читайте також на ProIT: Microsoft оновлює розширення C# Dev Kit для VS Code.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
