Da Entwicklungspipelines immer komplexer werden, nutzen Angreifer weiterhin Open-Source-Ökosysteme und CI/CD-Automatisierung, um bösartigen Code dort einzuschleusen, wo er am schwersten zu erkennen ist. Teams benötigen eine Möglichkeit, jede Softwarekomponente zu überprüfen, bevor sie tiefer in den Softwareentwicklungslebenszyklus (SDLC) gelangt, ohne dabei die Entwickler auszubremsen.
Um Unternehmen dabei zu helfen, ihre Pipeline-Sicherheit zu stärken, OPSWAT das MetaDefender Software Supply Chain für TeamCity OPSWAT . Diese Integration umfasst automatisierte Bedrohungserkennung, Geheimnisanalyse und Sichtbarkeit von Abhängigkeitsrisiken direkt in Ihrem TeamCity-Build-Prozess und stellt sicher, dass jeder Build auf Sicherheit geprüft und verifiziert wird.
Supply Chain durch Dritte und Supply Chain nehmen zu
Moderne Entwicklungspipelines sind stark von Drittanbieterpaketen, Open-Source-Ökosystemen, APIs und verteilten Microservices abhängig. Diese Veränderung hat enorme Geschwindigkeit und Innovation ermöglicht, aber auch die Angriffsfläche in einer Weise erweitert, für die herkömmliche Sicherheitstools nicht ausgelegt sind.
Anwendungen bestehen aus Tausenden von externen Komponenten, Container-Images, Cloud-Diensten und OSS-Bibliotheken. Tatsächlich verwenden die meisten Unternehmen mittlerweile in mehr als 90 % ihrer Anwendungen Open-Source-Abhängigkeiten . Diese Abhängigkeit birgt jedoch ein echtes Risiko:
- Nicht verifizierte Pakete von Drittanbietern können Malware einschleusen.
- Veraltete oder anfällige OSS können Lücken für heimliche Ausnutzung schaffen.
- Komplexe Abhängigkeitsketten machen es schwierig zu wissen, was tatsächlich in der Produktion läuft.
- CI/CD-Automatisierung beschleunigt die Entwicklung, kann aber auch die Ausbreitung von Kompromittierungen beschleunigen, wenn sie nicht kontrolliert wird.
Wie es funktioniert
Integrieren Sie das Plugin in wenigen Minuten in TeamCity:
Einfach zu bedienen und zu warten
TeamCity ersetzt automatisch frühere Versionen. Sie können das Plugin jederzeit über die Verwaltungsschnittstelle zurücksetzen oder entfernen.
Unabhängig davon, ob Sie einige wenige Microservices oder Hunderte von Repositorys verwalten, bietet das MetaDefender Software Supply Chain eine skalierbare Grundlage für die Sicherung Ihrer Software-Lieferkette.
Vorteile
Erkennung und Prävention von Malware
Überprüft Ihre Builds frühzeitig im SDLC auf bösartige Artefakte und erkennt kompromittierte Pakete aus Quellen wie npm, PyPI oder Maven, bevor sie in die Produktion gelangen.
Verhinderung von geheimen Informationslecks
IdentifiziertAPI , Passwörter, Tokens und andere sensible Daten, bevor sie versehentlich weiter in die Pipeline gelangen.
Einblick in Abhängigkeiten und Open-Source-Risiken
Hebt veraltete, nicht verifizierte oder riskante Abhängigkeiten hervor, einschließlich transitiver Abhängigkeiten, die normalerweise leicht zu übersehen sind.
Software und Transparenz
Erstellt SBOM-Berichte in standardisierten Formaten (CycloneDX, SPDX) für jeden Build und verschafft Ihrem Team so einen Überblick über alle Komponenten.
Haben Sie Fragen zur Einrichtung oder zu Best Practices? Erhalten Sie maßgeschneiderte Beratung für Ihre CI/CD-Umgebung.
