Sicherheitsrisiken für Entwickler reduzieren

Lacework f?hrt automatisierte Fehlerbehebung durch Smart Fix ein

Lacework, die datengesteuerte Cloud-native Application Protection Platform (CNAPP), k?ndigte eine Reihe von Erweiterungen in seinem Code Security Angebot an – darunter Smart Fix, eine Funktion zur automatischen Risikobeseitigung. Ziel des neuen Features ist es, die Sicherheit in der Cloud zu vereinfachen. Vorrangiges Anwendungsgebiet von Smart Fix ist die Identifizierung und Steuerung von bekannten Schwachstellen und Anf?lligkeiten (Common Vulnerabilities and Exposures, kurz CVEs) in Drittanbieter- und Open-Source-Software. Smart Fix wird sp?ter auf der gesamten Lacework Plattform verf?gbar sein, um beginnend mit der Cloud Sicherheit die Behebung von Schwachstellen w?hrend des gesamten Lebenszyklus von Cloud-nativen Anwendungen zu verbessern.

“Die neue Smart Fix-Technologie von Lacework zielt darauf ab, den Zeitaufwand f?r die Behebung von Sicherheitsl?cken und -risiken um den Faktor 10 bis 100 zu reduzieren. Dies geschieht, indem sie die derzeit von Entwicklern manuell durchgef?hrten Schritte automatisiert, zus?tzliche Informationen bereitstellt und die leistungsstarke Code-to-Cloud-Plattform von Lacework nutzt”, erkl?rt Patrice Godefroid, Distinguished Engineer bei Lacework.

Smart Fix f?r Software von Drittanbietern

Laceworks Smart Fix f?r Software von Drittanbietern bietet Entwicklern eine ma?geschneiderte Anleitung zur Behebung von Sicherheitsl?cken. Dazu ermittelt das neue Feature den k?rzesten Aktualisierungspfad, mit dem alle aktuellen und potenziellen Schwachstellen im Code von Drittanbietern behoben werden k?nnen. Herk?mmliche Software-Kompositionsanalyse-Produkte (Software Composition Analysis, kurz SCA) arbeiten mit einem Blick auf die einzelnen bekannten Schwachstellen und Anf?lligkeiten (CVEs), anstatt die Anweisungen f?r alle CVEs in einem Paket zusammenzufassen und eine einzige Empfehlung auszusprechen. Das bedeutet, dass in einem Code-Paket mit mehreren CVEs jedes Einzelne widerspr?chliche Anweisungen zur Fehlerbehebung geben kann, was wiederum zu folgenden Problemen f?hrt:

-Unzureichende Anweisungen zur Behebung von Schwachstellen: Laut National Vulnerability Database werden monatlich durchschnittlich 1.300 neue Schwachstellen in ?ffentlichen Datenbanken registriert. ?ltere CVEs verf?gen dabei oft nicht ?ber aktualisierte Anleitungen, um mit diesen neuen Zero-Days umgehen zu k?nnen. F?r Entwickler, die an der Behebung von Schwachstellen in herk?mmlichen SCA-L?sungen arbeiten, bedeutet dies einen enormen Mehraufwand.
-?berw?ltigende Anzahl von Schwachstellen: In der Regel gibt es mindestens zwei bis f?nf CVEs pro Code-Paket, was es schwierig macht, den k?rzesten Weg zur Behebung aktueller und zuk?nftiger potenzieller Schwachstellen zu finden.

Laceworks Smart Fix f?r Software von Drittanbietern bietet eine L?sung f?r die oben genannten Probleme. Um den optimalen Patch auszuw?hlen, evaluiert das neue Feature automatisch jeden potenziellen Patch f?r das anf?llige Kundenpaket und die nachfolgenden Paketversionen. Dadurch wird sichergestellt, dass nicht nur die identifizierten CVEs gepatcht werden, sondern auch alle anderen potenziellen Schwachstellen, von denen bekannt ist, dass sie das Paket betreffen. Entwickler haben direkt in ihrer Codebasis ?ber die Lacework Integrationen Zugriff auf die Smart Fix-Empfehlungen.

Im Laufe der Zeit wird Lacework seine Smart Fix-Technologie in andere Sicherheitsbereiche ausdehnen, darunter u.a. Codesicherheit, Identit?ts- und Zugriffsmanagement, Angriffspfade und IaC (Infrastructure as Code)-Sicherheit. In jedem Fall analysiert das System alternative Wege zur Behebung des Problems, berechnet den k?rzesten Weg zur Reduzierung des gr??ten Risikos mit dem geringsten Aufwand und kann die ?nderung sogar automatisch ausf?hren.

Weitere Erg?nzungen

Neben Smart Fix f?r Software von Drittanbietern k?ndigt Lacework noch mehrere weitere neue Funktionen an, die die Sicherheitsanforderungen f?r Entwickler verringern, darunter:
-Anwendungskontext: Z?hlt jede Instanz auf, in der eine Anwendung auf eine anf?llige Programmbibliothek verweist. Die Entwickler k?nnen beobachten, wie oft die jeweilige Bibliothek aufgerufen und wie sie genutzt wird. So erhalten sie den n?tigen Kontext, um CVEs effektiv zu priorisieren.
-Differenzielle Analyse: Identifiziert CVEs, die von jedem einzelnen Entwickler eingef?hrt werden, wenn er den Code ?ndert und Pull Requests (PR) einreicht. Dadurch k?nnen Entwickler den Fokus auf die Entwicklungsgeschwindigkeit ihrer Codes und das Durchlaufen von Sicherheitskontrollpunkten legen, anstatt sich mit langj?hrigen Schwachstellen zu besch?ftigen, die von anderen eingef?hrt wurden.
-Visual Studio (VS) Code-Erweiterung: Erkennt und warnt Entwickler vor anf?lligen Drittanbieter- und Open-Source-Bibliotheken und -Paketen, w?hrend der Code geschrieben wird. Damit lassen sich Sicherheitsrisiken direkt in ihrer integrierten Entwicklungsumgebung (IDE) proaktiv angehen und Verz?gerungen vermeiden, die durch die Entdeckung von Schwachstellen bei der Einreichung von Pull Requests (PR) oder Code-Check-Ins entstehen.

Diese Tools bieten Entwicklern und Entwicklungsteams einen neuen, effizienteren Weg, um Zeit zu sparen und sicheren Code effizient zu entwickeln, und zwar ?ber das gesamte Spektrum der Code-Sicherheitsfunktionen hinweg.

Keywords:Cloud-Sicherheit, Code Security,

adresse