banner large

Slim.AI memperkenalkan keamanan wadah rantai pasokan perangkat lunak beta sebagai layanan

Comment
X
Share

Austin, Texas: Kami telah belajar dengan susah payah bahwa, seperti yang dikatakan oleh CEO Slim.AI John Amaral, “Rantai pasokan perangkat lunak Anda hanya seaman tautan terlemahnya.” Amin, saudara!

CEO Slim.AI John Amaral

CEO Slim.AI John Amaral: “Nilai inti kami adalah ‘Kenali Perangkat Lunak Anda.’ “

Slim.AI

Banyak serangan profil tinggi, pelanggaran, dan eksploitasi seperti kegagalan SolarWinds dan kerentanan Log4J adalah contoh utama. Memang, ini menjadi sangat buruk, sehingga Presiden Joseph Biden mengeluarkan perintah eksekutif yang meminta kita semua untuk mengamankan rantai pasokan perangkat lunak. Ketika politisi memperhatikan perangkat lunak, hal-hal menjadi nyata.

Slim.AI menghadapi tantangan ini dengan mengumumkan di Open Source Summit di Austin, Texas, layanan keamanan rantai pasokan perangkat lunak beta. Layanan ini akan membantu organisasi secara terus menerus dan otomatis mengoptimalkan dan mengamankan wadah mereka dan meminimalkan risiko rantai pasokan perangkat lunak.

Layanan ini dibangun di atas fondasi proyek sumber terbuka Slim.AI, DockerSlim. Program pengembang populer ini mengoptimalkan dan mengamankan container Anda dengan menganalisis kode Anda dan membuang kode yang tidak perlu, sehingga “melangsingkan” permukaan serangan container Anda. Itu juga dapat mengurangi ukuran wadah Anda hingga 30x.

Itu mengesankan. Seperti yang dikatakan Amaral, “Saat ini, puluhan ribu pengembang dan tim menggunakan perangkat lunak SaaS open source dan gratis Slim untuk memahami apa yang ada di dalam wadah mereka, mengurangi permukaan serangan wadah, menghilangkan kerentanan, dan hanya mengirimkan kode yang mereka butuhkan. proyek open-source tidak berskala. Jadi dengan layanan baru ini, Amaril melanjutkan, “Kami beralih dari membantu pengembang individu dan tim kecil ke solusi yang memungkinkan organisasi untuk terus menerus dan otomatis mencapai hasil ini dalam skala besar.”

Ini dilakukan dengan mengintegrasikan kode dengan pendaftar penampung, saluran Continuous Integration/Continuous Deployment (CI/CD), dan alat sehingga Anda dapat mengotomatisasi dan mengintegrasikannya ke dalam alur kerja yang ada untuk mengirimkan perangkat lunak aman ke dalam produksi dengan cepat.

Integrasi saat ini dan yang direncanakan mencakup registry Docker, AWS ECR, Google GCR, GitHub, DigitalOcean, dan Quay serta platform Jenkins, GitLab, dan GitHub CI/CD. Antarmuka Pemrograman Aplikasi (API) juga tersedia untuk Mitra Akses Awal.

Selain itu, berkat API-nya, layanan ini memungkinkan Anda menggunakan beberapa pemindai kerentanan pada wadah Anda untuk menemukan masalah keamanan sebelum mereka menggigit Anda.

Ini semua adalah bagian dari apa yang Amaral sebut “Empat S Keamanan Rantai Pasokan Perangkat Lunak.”

Kabar baik tentang rantai pasokan perangkat lunak sumber terbuka adalah, Amaral menjelaskan, “sangat mudah bagi pengembang untuk menggabungkan perpustakaan kode yang luas ke dalam aplikasi, mengemasnya ke dalam wadah, dan mengirimkannya ke produksi dengan mengklik tombol. Kode berjalan dalam produksi adalah anak dari rantai pasokan besar-besaran.” Berita buruknya adalah “Ini menanggung manfaat dan risiko dari semua keputusan, kontribusi, fitur, dan kekurangan yang dimanifestasikan oleh penciptanya secara keseluruhan.”

Sebagai CodeNotary, sebuah perusahaan rantai pasokan perangkat lunak, baru-baru ini mengamati, “Perangkat lunak tidak pernah lengkap dan basis kode termasuk dependensinya adalah dokumen yang selalu diperbarui. Itu secara otomatis berarti Anda perlu melacaknya, baik dan buruk, dengan mengingat bahwa sesuatu yang baik dapat menjadi buruk.” Ya, persis begitu!

Jawabannya, menurut Amaral, adalah membangun program keamanan rantai pasokan perangkat lunak otomatis (SSCS) yang komprehensif dan otomatis: “The Four Ss.” Ini adalah:

  1. Daftar Bahan Perangkat Lunak: Ini adalah daftar semua komponen dalam perangkat lunak seperti perpustakaan sumber terbuka dan komponen pihak ketiga. Pendekatan SBOM yang terkenal termasuk Software Package Data Exchange (SPDX) dari Linux Foundation dan Level rantai suplai untuk Artefak Perangkat Lunak, atau SLSA (salsa)

  2. Penandatanganan: Penandatanganan adalah cara untuk melampirkan identitas pengembang yang terverifikasi dan tidak dapat diubah secara digital ke sepotong kode. Digabungkan dengan alat lain, ini memungkinkan untuk membuat catatan perubahan perangkat lunak yang transparan dan aman secara kriptografis dan memanifestasikan rantai penjagaan digital yang permanen dan andal untuk perangkat lunak dan artefak terkait. Sigstore dan Notaris.

  3. Yg melangsingkan: Ini meminimalkan jejak kode produksi Anda dengan menghapus kode yang tidak perlu. Ini juga secara inheren mengurangi kompleksitas rantai pasokan perangkat lunak, permukaan serangan perangkat lunak, dan risiko agregat.

  4. Membagikan: Tidak ada satu orang atau organisasi yang dapat memberikan solusi SSCS yang komprehensif. Komunikasi tentang SSCS dan kolaborasi dalam solusi baik di dalam organisasi Anda maupun dengan kelompok lain sangat penting untuk memajukan industri dan melindungi ekosistem global yang bergantung pada perangkat lunak kami. Ketika datang ke keamanan open-source, kita semua bersama-sama.

Di Slim, Amaral menyimpulkan, “Nilai inti kami adalah ‘Kenali Perangkat Lunak Anda.’ Alat Slim.AI dapat digunakan bersama pemindai kerentanan dan generator SBOM untuk menciptakan pandangan holistik dari rantai pasokan perangkat lunak.” Dengan pengoptimalan Slim, Anda dapat memastikan tim hanya mengirimkan apa yang mereka butuhkan untuk produksi.

Ingin tahu lebih banyak? Hubungi tim Slim.AI untuk akses awal. Jika Anda berada di Open Source Summit, Anda dapat mengunjungi tim Slim.AI dan mempelajari lebih lanjut tentang program ini di Booth B2.

Cerita Terkait:

Leave a Reply

Your email address will not be published. Required fields are marked *