Slim.AI представляет бета-версию программного обеспечения для обеспечения безопасности контейнеров в цепочке поставок как услугу

Хотите убедиться, что ваш код безопасен? Slim.AI помогает вам защитить ваши контейнерные программы с помощью «подхода четырех S» — спецификации программного обеспечения (SBOM), подписания, сокращения и совместного использования.

Остин, Техас: Мы на собственном горьком опыте усвоили, что, как говорит генеральный директор Slim.AI Джон Амарал: «Ваша цепочка поставок программного обеспечения безопасна настолько, насколько надежно ее самое слабое звено». Аминь, брат!

Генеральный директор Slim.AI Джон Амарал: «Наша основная ценность — «Знай свое программное обеспечение». "

Яркими примерами являются многочисленные громкие атаки, нарушения и эксплойты, такие как фиаско SolarWinds и уязвимость Log4J. Действительно, ситуация стала настолько плохой, что президент Джозеф Байден издал указ, призывающий всех нас обеспечить безопасность цепочки поставок программного обеспечения. Когда политики обращают внимание на программное обеспечение, все становится реальным.

Slim.AI решает эту задачу, объявив на саммите Open Source в Остине, штат Техас, о своей службе безопасности цепочки поставок бета-версии программного обеспечения. Эта услуга поможет организациям непрерывно и автоматически оптимизировать и защищать свои контейнеры, а также минимизировать риски в цепочке поставок программного обеспечения.

Этот сервис создается на основе проекта Slim.AI с открытым исходным кодом DockerSlim. Эта популярная программа для разработчиков оптимизирует и защищает ваши контейнеры, анализируя код и удаляя ненужный код, тем самым «уменьшая» поверхность атаки ваших контейнеров. Это также может уменьшить размер вашего контейнера до 30 раз.

Это поразительно. Как сказал Амарал: «В настоящее время десятки тысяч разработчиков и команд используют программное обеспечение Slim с открытым исходным кодом и бесплатное SaaS-программное обеспечение, чтобы понять, что находится в их контейнерах, уменьшить поверхность атаки контейнеров, удалить уязвимости и доставить только тот код, который им нужен». Проект с открытым исходным кодом не масштабируется. Поэтому, с помощью этой новой услуги, Амарал продолжил: «Мы переходим от помощи отдельным разработчикам и небольшим командам к решению, которое позволяет организациям непрерывно и автоматически достигать этих результатов в масштабе».

Это достигается путем интеграции кода с реестрами контейнеров, конвейерами непрерывной интеграции/непрерывного развертывания (CI/CD) и инструментами, позволяющими автоматизировать и интегрировать его в существующие рабочие процессы для быстрой доставки безопасного программного обеспечения в производство.

Текущие и планируемые интеграции включают реестры Docker, AWS ECR, Google GCR, GitHub, DigitalOcean и Quay, а также платформы Jenkins, GitLab и GitHub CI/CD. Интерфейсы прикладного программирования (API) также предоставляются партнерам раннего доступа.

Кроме того, благодаря своим API-интерфейсам сервис позволяет вам использовать несколько сканеров уязвимостей в ваших контейнерах, чтобы находить проблемы безопасности до того, как они вас укусят.

Все это часть того, что Амарал называет «четырьмя S безопасности цепочки поставок программного обеспечения».

Хорошая новость о цепочке поставок программного обеспечения с открытым исходным кодом, как объяснил Амарал, заключается в том, что «разработчикам действительно легко включать огромные библиотеки кода в приложения, упаковывать их в контейнеры и отправлять в производство одним нажатием кнопки. в производстве — дитя огромной цепочки поставок». Плохая новость заключается в том, что «он несет в себе преимущества и риски всех решений, вкладов, функций и недостатков, проявленных его создателями в совокупности».

Как недавно заметила CodeNotary, компания, занимающаяся поставками программного обеспечения: «Программное обеспечение никогда не бывает завершенным, а база кода, включая его зависимости, представляет собой постоянно обновляемый документ. Это автоматически означает, что вам нужно отслеживать его, хорошее и плохое, помня, что что-то хорошее может стать плохим». Да, именно так!

Ответ, по мнению Амарала, заключается в создании комплексной автоматизированной программы безопасности цепочки поставок программного обеспечения (SSCS): «Четыре Ss». Это:

1. Спецификация программного обеспечения. Это список всех компонентов программного обеспечения, таких как библиотеки с открытым исходным кодом и компоненты сторонних производителей. Хорошо известные подходы SBOM включают в себя обмен данными пакетов программного обеспечения (SPDX) Linux Foundation и уровни цепочки поставок для программных артефактов, или SLSA (salsa).

2. Подписание. Подписание - это способ цифрового прикрепления проверенной неизменяемой личности разработчика к фрагменту кода. В сочетании с другими инструментами он позволяет создавать прозрачную, криптографически безопасную запись изменений программного обеспечения и формирует постоянную и надежную цифровую цепочку хранения программного обеспечения и связанных с ним артефактов. Сигстор и нотариус.

3. Уменьшение. Это сводит к минимуму объем рабочего кода за счет удаления ненужного кода. Это также по своей сути снижает сложность цепочки поставок программного обеспечения, вероятность атак на программное обеспечение и совокупный риск.

4. Обмен. Ни один человек или организация не может предоставить комплексное решение SSCS. Коммуникация по поводу SSCS и совместная работа над решениями как внутри вашей организации, так и с другими группами необходимы для развития отрасли и защиты нашей глобальной экосистемы, зависящей от программного обеспечения. Когда дело доходит до безопасности открытого исходного кода, мы все занимаемся этим вместе.

В Slim Амарал заключил: «Наша основная ценность — «Знай свое программное обеспечение». Инструменты Slim.AI можно использовать вместе со сканерами уязвимостей и генераторами SBOM для создания целостного представления о цепочке поставок программного обеспечения». Благодаря оптимизации Slim вы можете быть уверены, что команды поставляют только то, что им нужно для производства.

Хотите знать больше? Свяжитесь с командой Slim.AI для получения раннего доступа. Если вы участвуете в Open Source Summit, вы можете посетить команду Slim.AI и узнать больше о программе на стенде B2.