云原生安全提供商 Aqua Security 已宣布添加管道完整性扫描,以防止软件供应链攻击并确保 CI/CD 管道完整性。
在 eBPF 技术的支持下,Aqua 的管道完整性扫描器实时检测并阻止可疑行为和恶意软件,防止代码篡改并应对软件构建过程中的威胁。
该解决方案使组织有信心从战略上阻止产生大量攻击面的最具侵略性的软件供应链威胁。
随着软件供应链攻击的兴起和威胁形势的不断变化,组织现在有责任在其软件开发生命周期中纳入安全最佳实践。
软件完整性验证是这些最佳实践之一,是主要行业供应链安全框架的关键要求,包括 SLSA、NIST 安全软件开发框架和 CIS 软件供应链基准。
SolarWinds 证明了破坏软件构建过程完整性的灾难性影响以及持续验证软件完整性的迫切需求。
新管道完整性扫描器解决了行业最紧迫的需求之一,即确保现代开发过程的完整性并防止这种破坏性的软件供应链攻击。
Aqua 的管道完整性扫描器可检测可疑行为或具有供应链攻击特征的恶意软件。该功能还利用 Aqua Nautilus 研究团队生成的行为签名来检测基于野外云原生攻击的零日威胁。
连接到构建管道后,管道完整性扫描允许开发人员监控构建管道并定义构建操作方式的基线。团队可以了解他们的构建管道是如何运行的,以及在已知合适的环境中典型的网络活动、文件访问模式和进程活动是什么。
该解决方案还可以检测任何偏离基线的情况。一旦建立了基线,扫描器就可以检测到任何偏离该状态的情况,并在任何异常和反常情况下向团队发出警报,包括意外的文件修改、与可疑 URL 建立通信以及使用丢弃的恶意可执行文件以保证构建的完整性过程。
完整性扫描器最大限度地减少了攻击向量。此外,它通过持续扫描管道漂移来弥补 CI/CD 管道中的安全漏洞。这允许团队在软件构建过程的最早阶段防止代码篡改并保持开发工具的完整性。
它有助于制定保证政策。例如,为了扩展安全开发实践并确保软件完整性,可以实施保证策略来阻止显示可疑活动迹象的新构建的完成。这允许开发人员在开发过程中更容易修复的地方做出反应。
这是同类解决方案中的第一个,其他软件供应链安全工具只关注代码扫描或构建工件的静态分析,例如软件物料清单或 SBOM。
这些很重要,但已证明不足以检测和阻止此类供应链攻击。
Aqua 的管道完整性扫描器利用了公司强大的开源运行时安全和 Linux 取证传感器 Tracee。由于其轻量级功能,eBPF 技术可以提供对构建运行时的可见性,并以最小的中断检测实时威胁。
通过基于 eBPF 的扫描和策略来检测和阻止原始构建的漂移,团队可以保护他们的软件免受未经授权的访问,并防止高级供应链攻击。
Aqua 是第一个引入这种动态功能的公司,它补充了其现有的左移功能,包括代码扫描、CI/CD 状态管理和下一代 SBOM,为客户提供市场上最全面的保护。
管道完整性扫描是其软件供应链安全解决方案的一部分,可保护代码、所有开发基础设施和管道流程,使组织能够更快、更安全地构建和交付创新。
由云原生应用程序保护平台 (CNAPP) Aqua Cloud Security Platform 提供,它通过将云连接到开发人员并将运行时风险跟踪到代码和可以解决这些问题的开发人员来提高运营效率。