רד האט ו-Snyk פועלות כדי להתמודד עם אתגרי האבטחה של הקוד הפתוח

"חברת Snyk מעצימה מפתחים לאתר ולתקן נקודות תורפה ביישומים הרצים על פלטפורמת OpenShift של רד האט. במהלך ההרצאה שלנו בכנס Red Hat OpenShift Commons, שהתקיים לראשונה בישראל, המשתתפים למדו כיצד להשתמש בפתרונות Snyk Container וב-Snyk Infrastructure כקוד, כדי לתקן תצורות שגויות ונקודות תורפה אשר עלולות להוביל לסיכוני אבטחה ביישום הפועל על OpenShift", אמר דיוויד לוגו, מנהל שיווק שותפים ב-Snyk.  

"בסדנה, למשתתפים ניתנו כלים כדי לבחון את תוצאות סריקת האבטחה והתצורה בממשק המשתמש של Snyk; לאתר וליישם תמונת בסיס מאובטחת יותר, תוך שימוש בהדרכה המשודרגת של Snyk; ולאבטח את פריסת התצורה של היישום ב-OpenShift של רד האט", סיפר לוגו.

סיכוני האבטחה של הקוד הפתוח

לוגו הסביר כי "הרכב היישום השתנה היום, כאשר פריסות הענן שינו את מה שבאופן מסורתי היה תשתית-לקוד, מה שמפעיל לחץ רב יותר על צוותי הפיתוח והאבטחה לבנות יישומים בעלי אבטחה מובנית. הקוד מגדיר כעת קונטיינרים, שירותים והרבה מאספקת התשתית, אך מעט מאוד מפתרונות האבטחה המודרניים אשר זמינים כיום בשוק מכסים את הסיכונים העתידיים".

"ואם זה לא מספיק, הרוב המוחץ של הקוד ביישומים העדכניים מגיע מתלות ברכיבים של קוד פתוח, וישנה הבנה גוברת כי הקוד הפתוח מהווה סיכון שיש להתמודד עמו. כלי אבטחת היישומים המסורתיים מתמקדים באיתור ודיווח על נקודות תורפה, כאשר הם יוצרים דו"חות ביקורת ומאפשרים לצוותי אבטחת היישומים לבנות 'שערים' בתהליך הפיתוח, כדי לעצור מפתחים משחרור יישומים בעלי נקודות תורפה. כאשר המפתחים צריכים לפעול במהירות, המתודולוגיות וכלי האבטחה הישנים פועלים בצורה משבשת, אשר מונעת את האימוץ שלהם בצורה רחבה, במיוחד לאור המורכבות הגוברת בתהליכי עבודת הפיתוח".

"לרוע המזל", המשיך לוגו ואמר, "הטלת האחריות של אבטחת היישומים על צוות אבטחת היישומים היא איטית מדי וללא יכולת גדילה. השילוב בין צוות פיתוח גדול יותר, התממשקות מתמשכת ומחזור פיתוח אינו תומכים במודל שבו הפיתוח יכול לעצור ולחכות לבדיקת האבטחה על ידי צוות אבטחת יישומים יחסית קטן".   

כיצד ניתן להתמודד עם הסיכונים?

לוגו ציין כי "במהלך השנים, ספקי פתרונות כדוגמת Snyk פיתחו גישות חדשות לדברים כמו כלי בדיקה סטטיסטית של אבטחת יישומים (SAST) וניתוח הרכב תוכנה (SCA), שהינם קריטיים לאיתור ותיקון האיכות ובעיות האבטחה בקוד קנייני ובקוד פתוח. כמו כן, היישומים המודרניים כיום מסתמכים בכבדות על רכיבי קוד פתוח. המשמעות היא כי כלי SCA מודרניים, כמו Snyk Open Source הניתן לאימוץ בקלות על ידי צוותי פיתוח, הפכו לדרישת חובה עבור צוותי הפיתוח והאבטחה המחפשים לאתר ולתקן נקודות תורפה בעלות קשר לקוד פתוח על בסיס קבוע, כמו נקודת התורפה log4shell אשר התגלתה לפני מספר חודשים".

"בנוסף לכך, יישומים מוטי-ענן (cloud-native) מורכבים מקוד קנייני ומקוד פתוח. הם נפרסים באמצעות קונטיינרים, נשלטים באמצעות שירותים כמו Kubernetes ומסופקים באמצעות טכנולוגיית תשתית-כקוד (IaC) כמו Terraform, ולכן, האבטחה שלהם דורשת פתרונות הוליסטיים אשר יכולים להגן על כל האלמנטים של הקוד והיישום במודל קבוע, עם נראות ובקרת שליטה אחודות", הבהיר לוגו.   

רד האט ו-Snyk מאבטחות את הקוד הפתוח

"רד האט ו-Snyk חברו יחד במטרה ליצור פתרון מעשי עבור מפתחים, המשלב את הנראות של פתרון ה-CRDA (ר"ת CodeReady Dependency Analytics) של רד האט יחד עם יכולות המודיעין והמניעה של Snyk, כדי לאתר ולתקן בקלות נקודות תורפה והפרות רישיון בעלות קשר לקוד פתוח. מאגר נתוני נקודות התורפה הקנייני של Snyk מעשיר את נתוני האבטחה של CodeReady של רד האט, מוסיף אבטחה, תאימות רישיון והדרכה מבוססת בינה מלאכותית, כדי לסייע למפתחים לבחור את הקשרים המתאימים ליישומים שלהם. פתרון CodeReady Dependency Analytics זמין כתוסף של סביבות פיתוח משולבת (IDE) עבור Visual Studio Code (VS Code), Eclipse Che, Red Hat CodeReady Workspaces ו-IntelliJ-based IDEs", סיכם לוגו.