CICADA8 и AppSec Solutions подтвердили технологическую совместимость для защиты цепочек поставок ПО

CICADA8, компания по управлению уязвимостями и цифровыми угрозами в реальном времени, и AppSec Solutions, ведущий российский вендор решений безопасной разработки ПО и искусственного интеллекта, объявляют о технологическом партнерстве. Компании представили совместное интеграционное решение для защиты от атак на цепочки поставок (Supply Chain Security). Подтверждение технологической совместимости позволяет ИБ-инженерам контролировать весь периметр разработки, а бизнесу – сокращать ее сроки.

В современной разработке внешние компоненты (open source) составляют до 90% кодовой базы программных продуктов. Сторонние библиотеки могут содержать уязвимости, которые необходимо своевременно выявлять, не допуская их использования в разработке нового ПО. При этом традиционные подходы к этой задаче сталкиваются с рядом ограничений. Главная из них состоит в том, что разработчики узнают о проблеме слишком поздно: сканирование на уязвимости часто проводится уже после сборки приложения, заставляя переписывать код и откладывать выход ПО.

Совместное решение CICADA8 и AppSec Solutions устраняет эти барьеры, объединяя активную фильтрацию трафика и централизованное управление уязвимостями. Благодаря этому компании-разработчики могут сократить сроки вывода своего ПО на рынок, будучи уверенными в высоком уровне его защиты.

Для руководства компаний решение выступает в качестве прозрачного инструмента контроля, который помогает связать технические риски с бизнес-продуктами и отслеживать ключевые метрики безопасности, таких как среднее время на устранение уязвимостей или средний уровень защищенности различных версий ПО. Специалисты, отвечающие за безопасность создаваемого ПО, получают единую консоль для триажа уязвимостей и управления рисками, которая помогает прослеживать каждую уязвимость до конкретного проекта. Разработчикам решение предоставляет четкие инструкции по устранению уязвимостей, сокращает количество ненужных остановок сборок и не влияет на привычные для них инструменты и процессы.

«Мы отказались от тяжеловесных агентов в пользу архитектурной элегантности. CICADA8 Dependency Firewall мимикрирует под привычные репозитории, становясь «невидимым» защитным слоем. Разработчик продолжает использовать стандартные команды, но «под капотом» происходит глубокий анализ. Совместно с AppSec Solutions мы превратили поток «сырых» данных о зависимостях в управляемый бизнес-процесс, который не тормозит релизы, но гарантирует чистоту кода», — пояснил Сергей Авраменко, руководитель направления CICADA8 Dependency Firewall.

Архитектура строится на связке CICADA8 Dependency Firewall, который выступает в качестве единого шлюза для всех внешних и внутренних артефактов, и платформы AppSec.Hub класса ASPM, которая консолидирует полученные данные и реализует процесс централизованного управления уязвимостями (Vulnerability Management).

«Современная разработка требует решений, которые встраиваются в процесс, а не ломают его. Связка наших продуктов реализует зрелый подход к DevSecOps: мы не просто блокируем угрозы, но и даем бизнесу контекст — в каком приложении и в какой сборке возник риск. Это позволяет компаниям эффективно управлять процессом безопасной разработки на основе метрик, снижая количество рутинных задач, сохраняя высокие темпы разработки», – отмечает Антон Башарин, старший управляющий директор AppSec Solutions.

Решение легко интегрируется в процессы безопасной разработки. В отличие от классических прокси, CICADA8 Dependency Firewall полностью эмулирует нативные API популярных пакетных менеджеров (Docker V2, NPM, PyPi, NuGet и др.). Для сборочных систем он выглядит как стандартный upstream-реестр, что исключает необходимость установки агентов или сложных сертификатов на каждое устройство. Также, чтобы перенаправить потоки загрузки зависимостей в защищенный контур, DevOps-инженерам достаточно указать адрес Firewall в настройках CI/CD-пайплайна. За счет этого подхода решение одинаково эффективно работает с GitLab CI, Jenkins, TeamCity и любыми другими оркестраторами без использования проприетарных плагинов.