Trend Micro Cloud One 採用Snyk建構 透過提升資安可視性及自動追蹤 節省漏洞偵測時間
【2021年5月17日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一項與雲端原生應用程式資安領導廠商 Snyk 共同打造的資安防護服務 (SaaS)。這項業界首創的服務是專為持續掌握開放原始碼漏洞而設計,讓企業強化風險管理,支援數據驅動導向決策。
Trend Micro Cloud One – Open Source Security by Snyk 是 Cloud One 服務陣容的最新成員,也是第一個加入該平台的合作夥伴服務,同樣在 AWS Marketplace 上架。
這是第一個能讓資安團隊掌握開放原始碼軟體漏洞可視性的服務。開放原始碼元件能為應用程式開發團隊帶來速度、彈性、延伸性並提升品質,因此這類元件的數量正爆炸性成長。事實上,今日應用程式有 80% 的程式碼都是開放原始碼註一。
根據 Gartner 的「軟體結構分析市場指南」(Market Guide for Software Composition Analysis) 指出:「幾乎所有企業都會用到開放原始碼軟體,因此很容易讓企業招來漏洞攻擊的風險,使企業的受攻擊面擴大而讓惡意程式和惡意程式碼取得機密程式碼並駭入企業基礎架構,導致法律與智慧財產外洩的問題註二。」
Snyk 指出,開放原始碼漏洞數量在過去三年當中成長了 2.5 倍,因此在 DevOps 流程內加入適當的資安防護更顯得必要。然而 SecOps 與 DevOps 彼此之間卻經常出現流程不連貫、工具無法搭配以及溝通困難的問題。資安人員經常為了掌握應用程式開發時期的風險而面臨挑戰。趨勢科技與 Snyk 共同推出這項雲端服務來消除資安與開發團隊之間長期以來因文化差異而造成的挑戰,藉由一套獨特的整合式解決方案,提前掌握軟體開發流程的可視性,進而提升資安。
「我們與趨勢科技共同在資安領域合作, 讓資安人員與開發人員共同攜手協助他們的組織更安全。」Snyk 全球策略聯盟技術長 Geva Solomonovich 表示:
「Snyk開發人員優先的理念與趨勢科技Cloud One提供管理開放原始碼風險的單一平台相結合,可協助更多客戶簡化供應商及工具管理。我們也期待未來能繼續攜手為雙方客戶解決更多關鍵的資安問題。」
過去 25 年來,全世界開發的應用程式幾乎都用到開放原始碼,但由於企業開發及提供最新雲端原生應用程式的壓力不斷升高,因而忽略了舊有的應用程式、相關元件,以及這些程式和元件的維護與更新,進一步造成漏洞,帶來風險。
趨勢科技營運長 Kevin Simzer 表示:「有了這套解決方案,許多問題都能迎刃而解,透過技術來消除內部鴻溝。透過更高的自動化讓每一應用程式節省 650 小時以上的開發時間,協助管理軟體授權的風險與責任,讓資安團隊掌握原本看不到的程式碼漏洞。」
Trend Micro Cloud One – Open Source Security by Snyk 協助SecOps 發掘軟體漏洞以及軟體授權問題,讓資安團隊更容易長期監控 DevOps 專案中的風險與曝險程度、判斷其優先次序並促進溝通,包括下列功能:
· 數據導向的資安決策。
· 持續監控威脅等級。
· 有效判斷風險的優先次序並提供建議。
此外,內建的自動化功能還可協助資安團隊迅速發掘並偵測開發非直接的相依元件版本讓開發人員發現非預期的相依元件。經由自動化與提早發現漏洞,平均每個漏洞可省下 8 小時的偵測時間註三。
這項服務已隨 Cloud One 平台在 AWS Marketplace 上架。
註一:Snyk 在 PowerPoint 上提供的數據 (需要參照資料)。
註二:Gartner,「DevOps 法規遵循自動化工具市場指南」( Market Guide for Compliance Automation Tools in DevOps),2020 年 6 月。