軟體組成分析

透過開發人員整合與脈絡感知優先順序，主動解決各種開放原始碼弱點和授權合規性問題。

隨著弱點變得越來越普遍且捉摸不定，企業需要一套更快速、更簡單以及更流暢的方式來因應開放原始碼風險。隨著雲端原生基礎結構與應用程式層之間的界線越趨模糊，我們也越有可能從源頭保護程式碼並嵌入 DevOps 工具中。採取相互連接的方式來維護開放原始碼安全性和合規性，可讓企業儘可能減少誤判、針對發現結果排定優先順序，並以更快的速度維護程式碼的安全。

開放原始碼軟體是雲端原生應用程式的一個重要組成部分，可讓開發人員能建立新功能來取得先機以免白費力氣。然而，即使具備以上這些優勢，第三方開放原始碼軟體仍具有安全性和合規性方面的風險，必須透過任何雲端原生安全計劃來解決。

由於開放原始碼軟體包含許多層的套件相依性，我們很難精確掌握 OSS 的部分會用於應用程式堆疊中的哪個位置以及如何使用。此外，弱點經常會深植在傳遞的套件中。因此我們必須透過持續且整合的方法來追蹤這些弱點和授權。

一旦缺乏應用程式基礎結構的完整脈絡，我們很難判斷已識別的弱點是否實際暴露在應用程式內部，或者是否具有較低的風險。在結合應用程式與基礎結構安全發現後，這些弱點就會在整個程式碼庫的脈絡中浮現，讓我們更能排定優先順序並進行更快速的修復。

Prisma Cloud 會整合 DevOps 工具與程式碼、建置、部署和執行階段，因此可主動掃描開放原始碼套件中的弱點和授權合規性問題。Prisma Cloud 的數據模型能結合程式碼層級基礎結構和應用程式弱點，完整的相依性推斷和精細的版本碰撞修正也讓其與其他的 SCA 解決方案有著明顯的區別。

PRISMA CLOUD 解決方案

Prisma Cloud 軟體組成分析 (SCA) 以聲譽卓著的弱點數據庫為基礎，並且連接至業界最強大的基礎結構政策數據庫，能讓開發人員在脈絡中找出弱點以了解風險所在並且更快地實施修正。Prisma Cloud 可以提供您更寬廣且更深入的開放原始碼涵蓋範圍，讓您能掌握大型弱點的蹤跡並加以預防：

以絕佳的準確性掃描各種語言和套件管理工具
識別開放原始碼套件中的弱點並支援所有最常用的語言以及超過 30 種上游數據來源，將發生誤判的機率降到最低。
利用業界領先的來源，對於開放原始碼安全性充滿信心
Prisma Cloud 會掃描開放原始碼相依性，將其與 NVD 和 Prisma Cloud Intelligence Stream 等公用數據庫進行比較以找出弱點，並且顯示重要的修正資訊。
結合基礎結構和應用程式風險
專注於實際暴露在程式碼庫中的弱點以防範誤判的發生，並且能更快速地排定補救的優先順序。
識別任何相依性深度的弱點
Prisma Cloud 會取得套件管理工具數據來推斷至最深層的相依性樹狀結構，藉此識別隱藏在其中的開放原始碼風險。
視覺化您的軟體供應鏈並編排目錄
供應鏈圖表可針對您的管道和程式碼提供整合的目錄。它能夠視覺化呈現所有的連接，並且可以產生軟體材料清單 (SBOM)，使您能更輕鬆地追蹤應用程式風險並且了解您的攻擊範圍。

開發人員必須經由完整脈絡來判斷使用開放原始碼庫的方式和位置，並且能夠適時得到回饋，唯有如此他們才能真正修補這些弱點。SCA 會充分利用 Prisma Cloud 的原生開發人員工具整合以及 CLI 工具的可擴展性，因此能完全整合至開發人員工作流程中，以便在正確的地點和正確的時間顯示這些弱點：

將開放原始碼安全性整合至開發人員工具和工作流程中
讓開發人員能更放心地將新套件整合至程式碼庫，並且透過 IDE 和 VCS 提取/合併要求即時取得弱點相關回饋。
建立及執行整個生命週期適用的自訂政策
整合弱點管理以掃描儲存庫、登錄、CI/CD 管道和執行階段環境，並且判斷已封鎖或允許哪些軟體。
在避免大幅度改變的情況下修正問題
取得建議的最小幅度更新來修正直接和傳遞相依性中的弱點，避免因破壞關鍵功能而造成風險。運用彈性來選擇適用於每個套件的精細版本，讓您可以一次修正多個問題。
建立軟體材料清單
Prisma Cloud 可在儲存庫中找出相依性，建立一份軟體材料清單 (SBOM) 和基礎結構材料清單 (IBOM) 並以標準格式匯出。

對於雲端原生應用程式的安全性來說，確保完整涵蓋範圍的唯一方法就是在開發生命週期的每個層級和步驟中掃描弱點。SCA 是 Prisma Cloud 雲端原生應用程式保護平台的其中一種元件，可識別從程式碼到雲端的風險。

在開發人員建立及測試軟體時識別程式碼中的風險
檢查開放原始碼套件和映像，以找出 GitHub 等儲存庫以及 Docker、Quay、Artifactory 及其他登錄中的弱點和合規性問題。
將部署鎖定至已檢查的映像
利用 Prisma Cloud 映像掃描和容器沙箱分析來識別及封鎖惡意映像，並僅允許安全的映像進入生產環境中。
防止跨越任何執行階段環境的活動
從集中化主控台管理執行階段政策以確保每次部署的安全無虞。在將事件對應至 MITRE ATT&CK 架構並提供詳細的鑑識資料和豐富的中繼數據後，SOC 團隊將即可追蹤臨時性雲端原生工作負載面對的威脅。
脈絡感知執行階段安全性
透過完整的雲端資產目錄、設定評估和自動化補救等方式，偵測及防禦各種錯誤設定和弱點，以避免在執行階段發生數據洩露和合規性違規等情況。

然而合規性問題刻不容緩，切勿等到手動合規性審查時才發現您的開放原始碼程式庫並不符合您的授權使用要求。Prisma Cloud 會將開放原始碼授權編入相依性目錄，並根據可自訂的授權政策發出警示或封鎖部署：

避免代價昂貴的開放原始碼授權違規
提早顯示回饋，並且根據開放原始碼套件授權違規來封鎖建置，同時支援所有常見的語言和套件管理工具。
根據標準的業界使用案例來利用預設政策
立即可用的政策，加上常見授權類型的安全性層級以及非標準授權類型語言的模式比對，可讓您更輕鬆地判斷能接受哪些使用方式。
建立自訂政策以執行內部合規性要求
根據授權類型設定規則以符合著作傳和許可授權的內部要求。由於企業可以透過 DevOps 工具整合在初期封鎖政策違規的情況，因此不需要煩惱如何處理後續授權不合規的情況。