ソフトウェア サプライ チェーンを保護
Python、Perl、Tcl ソフトウェア サプライ チェーンのセキュリティと完全性を向上。
オープンソース サプライ チェーンは思っているよりも大規模です。最近のアプリケーションでは、コードの 80% 以上が通常、オープンソースの依存関係によるものですが、ソフトウェア サプライ チェーンのリスクを軽減するために厳格なセキュリティと完全性の制御を実装していない限り、オープンソースのコードをインポート、ビルド、実行すると、ソフトウェア開発ライフサイクルで大きなリスクにさらされる可能性があります。
既存のセキュリティと完全性の制御がどのくらい優れているか知りたいですか?
オープンソース セキュリティ
次のような機能を使用して、ソフトウェアを構築するオープンソースを保護します:
- 過渡的、共有、OS の依存関係を含む完全な部品表 (BoM)。不明なものを保護することはできません。
- 脆弱性を迅速に特定して修復する機能。
最近の米国大統領行政命令によると、これらの機能は、2022 年 10 月までに政府機関に販売するための NIST 要件になります。
サプライ チェーンの完全性
次のようなセキュリティ対策を行い、すべてのオープンソース ソフトウェアの来歴 (起源) を証明します:
- ソース コードから構築されたすべてのコンポーネントが検証可能で再現可能であることを保証する、スクリプト化された、一時的な、分離された外部の影響を受けない環境 (つまり、サードパーティのソフトウェアを起源となるオープンソース エコシステムまで追跡できます)。
- 改竄不能な来歴証明を提供するのに役立つパッケージ署名 (近日追加予定) とチェックサム。
来歴は、コードベースに攻撃ベクトルやバックドアを追加する可能性のあるマルウェアや悪意のあるコードの混入を防ぎます。この種の開発環境のサイバー攻撃は、(SolarWinds のハッキングで起きたように) パッチ、アップデート、アップグレードをデプロイするダウンストリームの顧客がすべて脆弱になるため、ソフトウェア サプライ チェーン攻撃として急浮上しています。
サプライ チェーンをエンドツーエンドで保護。ActiveState Platform は、組織固有のニーズを制御するように構築されているため、Python、Perl、Tcl の使用を簡単に保護してリスクを軽減できます。
アプリケーション セキュリティ
アプリケーションの開発、テスト、実行に必要なコードのみを含む、開発、CI/CD、プロダクション環境向けのセキュアな Python、Perl、Tcl ランタイムを作成します。DevSecOps イニシアチブに沿ったセキュアなソフトウェア開発手法を実装するとともに、アプリケーションの攻撃対象領域を縮小してサイバーセキュリティを向上します。
定期的なアップデート
オープンソース ソフトウェア コンポーネントのカタログは、PyPI、CPAN、GitHub、その他のパブリック リポジトリなどのオープンソース コミュニティのリソースからインポートされます。保護されたコンポーネントはインポート時に精査され、新しいバージョンは定期的に更新されるため、セキュリティの脆弱性を、安全かつタイムリーに修正できます。
来歴
すべてのパッケージは、既知の追跡された依存関係のセットのソース (リンクされた C ライブラリを含む) から自動的に構築され、(侵害されたバイナリではなく) 想定する情報を確実に取得します。その結果、非常にセキュアなソフトウェア サプライ チェーンが実現します。
ユニバーサル ツーリング
Python、Perl、Tcl をはじめ、すべての言語の「インポート、ビルド、実行」プロセス全体にツールを提供する単一のソリューション (ActiveState Platform) を実装することで、セキュリティ フットプリントを削減します。言語ごとの個別のパッケージ マネージャーとは異なり、ActiveState Platform は単一のユニバーサル パッケージ管理ソリューションを提供します。
CVE (共通脆弱性識別子) の修復
ActiveState Platform カタログのセキュアなコンポーネントを使用して、脆弱な Python、Perl、Tcl 環境を発見、修正し、自動的に再構築することにより、平均修復時間 (MTTR) を短縮します。修復を自動化します。
自動通知
カスタム ディストリビューションの Python または Perl の依存関係に脆弱性が見つかった場合はメールを受け取って、修復までの時間を短縮します。近日追加予定。
Fortune 1000 企業の 97% は ActiveState を活用して、時間の節約、リスクの軽減、より早い市場への参入を実現しています。
企業の顧客に役立つ追加機能:
マネージド CVE スキャン
Python、Perl、Tcl 言語環境でセキュリティ スキャンを実行して検証し、脆弱性を通知して、電子メールで送信可能なレポートを提供します。また、ポイントアンドクリックで脆弱性を解決できます。セキュアなカスタム言語ディストリビューションを自動的に再構築してデプロイできます。
拡張サポート
レガシー アプリケーション向けに Python 2 以前のバージョンの Perl を実行している場合、セキュリティの問題を解決し、コンプライアンス要件を満たし、顧客への義務を果たすために必要なメンテナンスとサポートを提供します。アプリケーション内のすべてのコア ライブラリとサードパーティ パッケージのサポートを取得して、Python 3 から修正をバックポートします。
マネージド ビルド
ActiveState は、ActivePython、ActivePerl、ActiveTcl ディストリビューション、および ActiveState Platform で利用可能なすべての言語バージョンに、タイムリーなアップデートを提供します。組織で使用する Perl、Python、Tcl ディストリビューションの検証を管理および提供することもできます。