Lacework führt automatisierte Fehlerbehebung durch Smart Fix ein
Lacework, die datengesteuerte Cloud-native Application Protection Platform (CNAPP), kündigte eine Reihe von Erweiterungen in seinem Code Security Angebot an – darunter Smart Fix, eine Funktion zur automatischen Risikobeseitigung. Ziel des neuen Features ist es, die Sicherheit in der Cloud zu vereinfachen. Vorrangiges Anwendungsgebiet von Smart Fix ist die Identifizierung und Steuerung von bekannten Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures, kurz CVEs) in Drittanbieter- und Open-Source-Software. Smart Fix wird später auf der gesamten Lacework Plattform verfügbar sein, um beginnend mit der Cloud Sicherheit die Behebung von Schwachstellen während des gesamten Lebenszyklus von Cloud-nativen Anwendungen zu verbessern.
“Die neue Smart Fix-Technologie von Lacework zielt darauf ab, den Zeitaufwand für die Behebung von Sicherheitslücken und -risiken um den Faktor 10 bis 100 zu reduzieren. Dies geschieht, indem sie die derzeit von Entwicklern manuell durchgeführten Schritte automatisiert, zusätzliche Informationen bereitstellt und die leistungsstarke Code-to-Cloud-Plattform von Lacework nutzt”, erklärt Patrice Godefroid, Distinguished Engineer bei Lacework.
Smart Fix für Software von Drittanbietern
Laceworks Smart Fix für Software von Drittanbietern bietet Entwicklern eine maßgeschneiderte Anleitung zur Behebung von Sicherheitslücken. Dazu ermittelt das neue Feature den kürzesten Aktualisierungspfad, mit dem alle aktuellen und potenziellen Schwachstellen im Code von Drittanbietern behoben werden können. Herkömmliche Software-Kompositionsanalyse-Produkte (Software Composition Analysis, kurz SCA) arbeiten mit einem Blick auf die einzelnen bekannten Schwachstellen und Anfälligkeiten (CVEs), anstatt die Anweisungen für alle CVEs in einem Paket zusammenzufassen und eine einzige Empfehlung auszusprechen. Das bedeutet, dass in einem Code-Paket mit mehreren CVEs jedes Einzelne widersprüchliche Anweisungen zur Fehlerbehebung geben kann, was wiederum zu folgenden Problemen führt:
-Unzureichende Anweisungen zur Behebung von Schwachstellen: Laut National Vulnerability Database werden monatlich durchschnittlich 1.300 neue Schwachstellen in öffentlichen Datenbanken registriert. Ältere CVEs verfügen dabei oft nicht über aktualisierte Anleitungen, um mit diesen neuen Zero-Days umgehen zu können. Für Entwickler, die an der Behebung von Schwachstellen in herkömmlichen SCA-Lösungen arbeiten, bedeutet dies einen enormen Mehraufwand.
-Überwältigende Anzahl von Schwachstellen: In der Regel gibt es mindestens zwei bis fünf CVEs pro Code-Paket, was es schwierig macht, den kürzesten Weg zur Behebung aktueller und zukünftiger potenzieller Schwachstellen zu finden.
Laceworks Smart Fix für Software von Drittanbietern bietet eine Lösung für die oben genannten Probleme. Um den optimalen Patch auszuwählen, evaluiert das neue Feature automatisch jeden potenziellen Patch für das anfällige Kundenpaket und die nachfolgenden Paketversionen. Dadurch wird sichergestellt, dass nicht nur die identifizierten CVEs gepatcht werden, sondern auch alle anderen potenziellen Schwachstellen, von denen bekannt ist, dass sie das Paket betreffen. Entwickler haben direkt in ihrer Codebasis über die Lacework Integrationen Zugriff auf die Smart Fix-Empfehlungen.
Im Laufe der Zeit wird Lacework seine Smart Fix-Technologie in andere Sicherheitsbereiche ausdehnen, darunter u.a. Codesicherheit, Identitäts- und Zugriffsmanagement, Angriffspfade und IaC (Infrastructure as Code)-Sicherheit. In jedem Fall analysiert das System alternative Wege zur Behebung des Problems, berechnet den kürzesten Weg zur Reduzierung des größten Risikos mit dem geringsten Aufwand und kann die Änderung sogar automatisch ausführen.
Weitere Ergänzungen
Neben Smart Fix für Software von Drittanbietern kündigt Lacework noch mehrere weitere neue Funktionen an, die die Sicherheitsanforderungen für Entwickler verringern, darunter:
-Anwendungskontext: Zählt jede Instanz auf, in der eine Anwendung auf eine anfällige Programmbibliothek verweist. Die Entwickler können beobachten, wie oft die jeweilige Bibliothek aufgerufen und wie sie genutzt wird. So erhalten sie den nötigen Kontext, um CVEs effektiv zu priorisieren.
-Differenzielle Analyse: Identifiziert CVEs, die von jedem einzelnen Entwickler eingeführt werden, wenn er den Code ändert und Pull Requests (PR) einreicht. Dadurch können Entwickler den Fokus auf die Entwicklungsgeschwindigkeit ihrer Codes und das Durchlaufen von Sicherheitskontrollpunkten legen, anstatt sich mit langjährigen Schwachstellen zu beschäftigen, die von anderen eingeführt wurden.
-Visual Studio (VS) Code-Erweiterung: Erkennt und warnt Entwickler vor anfälligen Drittanbieter- und Open-Source-Bibliotheken und -Paketen, während der Code geschrieben wird. Damit lassen sich Sicherheitsrisiken direkt in ihrer integrierten Entwicklungsumgebung (IDE) proaktiv angehen und Verzögerungen vermeiden, die durch die Entdeckung von Schwachstellen bei der Einreichung von Pull Requests (PR) oder Code-Check-Ins entstehen.
Diese Tools bieten Entwicklern und Entwicklungsteams einen neuen, effizienteren Weg, um Zeit zu sparen und sicheren Code effizient zu entwickeln, und zwar über das gesamte Spektrum der Code-Sicherheitsfunktionen hinweg.
Lacework sorgt für die Sicherheit von Unternehmen in der Cloud und ermöglicht es ihnen, Innovationen schneller und zuverlässiger umzusetzen. Cloud-Sicherheit erfordert einen grundlegend neuen Ansatz, und die Plattform von Lacework ist so konzipiert, dass sie mit dem Volumen, der Vielfalt und der Geschwindigkeit der Daten in der Cloud-Umgebung eines Unternehmens mitwächst: Code, Identitäten, Container und Multi-Cloud-Infrastrukturen. Nur Lacework bietet Sicherheits- und Entwicklungsteams eine korrelierte und priorisierte End-to-End-Ansicht, die die größten Risiken und einige der wichtigsten Sicherheitsereignisse identifiziert. Weitere Informationen finden Sie unter www.lacework.com/de
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Sofern Sie Ihre Datenschutzeinstellungen ändern möchten z.B. Erteilung von Einwilligungen, Widerruf bereits erteilter Einwilligungen klicken Sie auf nachfolgenden Button.
Einstellungen
