דף הבית » אקווה סקיוריטי משיקה את פתרון המקיף הראשון בשוק למניעת תקיפות  סייבר על שרשרת האספקה של פיתוח התוכנה
חדשות

אקווה סקיוריטי משיקה את פתרון המקיף הראשון בשוק למניעת תקיפות  סייבר על שרשרת האספקה של פיתוח התוכנה

ספטמבר 28, 2022
אמיר ג'רבי, סמנכ"ל הטכנולוגיות ואחד ממייסדי אקווה סקיוריטי, קרדיט צילום: דיוויד גארב

מהיום יכולים צוותי פיתוח ואבטחה להתגונן באופן יזום מפני איומי תקיפת שרשת אספקת התוכנה משלב כתיבת הקוד ועד לזמן הריצה.

 חברת אקווה סקיוריטי הישראלית (Aqua Security),  המפתחת פתרונות אבטחת מידע לסביבות הענן, הכריזה על פתרון הקצה לקצה הראשון והיחיד מסוגו למניעת תקיפות על שרשרת האספקה של התוכנה. הפתרון החדש מלווה את כל שלבי מחזור פיתוח התוכנה (SDLC) ומסייע לארגונים להתגונן ביעילות מפני תקיפות שרשרת האספקה של פיתוח יישומי ענן. השקת פתרון שרשרת אספקת התוכנה של אקווה היא תוצאה של שילוב הטכנולוגיה של חברת Argon  הישראלית, אשר נרכשה על ידי אקווה בדצמבר 2021.

בשנים האחרונות חלה עלייה מתמדת בהיקף תקיפות שרשרת אספקת התוכנה, כשאקווה מדווחת על עלייה בשיעור של 300% שנה אחר שנה. אקווה זיהתה כי האיומים הגדולים ביותר על שרשרת האספקה של פיתוח תוכנה הם רכיבי תוכנה של צד שלישי, ספריות ומודולים של קוד פתוח, וההתבייתות של תוקפים על כלים ותשתית סביבת הפיתוח הייחודית של המפתחים. כמענה לאיום ההולך וגדל על שרשרת אספקת התוכנה, פיתחה אקווה יכולות חדשות לשיפור פתרון אבטחת שרשרת האספקה הקיים שלה. היכולות החדשות מציבות את אקווה בעמדת מפתח בשוק כספקית בלעדית של פלטפורמת הגנה מלאה על התשתית וסביבת הפיתוח לכל אורך מחזור פיתוח התוכנה: החל בשלב כתיבת הקוד וכלה בזמן הרצת הקוד.

“לחברות אבטחת סייבר אחרים חסרים חלקים במשוואה,” מסביר אמיר ג’רבי, סמנכ”ל הטכנולוגיות ואחד ממייסדי אקווה סקיוריטי. “חלק מהם מתמקדים באבטחת שלב בניית התוכנה, אחרים בשלבי כתיבת הקוד ובניית התוכנה, אבל הפתרון של אקווה מגן על כל שלבי מחזור הפיתוח – כתיבת הקוד, בניית התוכנה, פריסת היישום ולמשך זמן הפעולה שלו. כך אנחנו מעניקים למפתחים ולצוותי פיתוח ראש שקט ואת הביטחון להתמקד בפיתוח יישומי הענן ולמנוע תקיפות על שרשרת האספקה.”

לאחרונה, פרסם מכון Systems Sciences Institute ב־IBM ממצאים לפיהם “עלות תיקון באג שהתגלה בשלב היישום גדולה פי שישה מעלות תיקון באג שהתגלה בשלב עיצוב התוכנה; וככל שהבאגים מתגלים מאוחר יותר בתהליך הפיתוח, כך גדלה עלות תיקונם. לדוגמה: עלות תיקון באגים שהתגלו בשלב הבדיקה יכולה להגיע לעד פי 15 מעלות תיקון באגים שהתגלו בשלב עיצוב התוכנה.” פתרון ההגנה על שרשרת אספקת התוכנה של אקווה כולל התרעות ומדדי קבלה לכל אורך תהליך הפיתוח כדי לאתר באופן יזום איומים וסיכונים מוקדם ככל הניתן בתהליך. יתרון נוסף הוא שאפשר להפוך את מידיוניות האבטחה האלו לאוטומטיות וכך לקצר עוד יותר את לולאת המשוב עבור צוותי הפיתוח והאבטחה ולחסוך בעלויות.

“התוקפים מנסים להשתיל קוד זדוני בקוד המקור או בספריות וברכיבי קוד פתוח שבהם נעשה שימוש וכך ליצור חולשות אבטחה או דלתות אחוריות ביישומי הענן. הפתרון של אקווה מגן באופן יזום על שרשרת אספקת התוכנה מתחילתה ועד סופה, תוך איתור סיכונים ומניעתם” מסביר יוסף אלבז, ראש אבטחת יישומים ב־Grubhub. זה בדיוק הפתרון הנדרש כדי להבטיח איכות כאשר משחררים תוכנה לשוק”.

פתרון אבטחת שרשרת אספקת התוכנה הראשון שמתממשק עם פלטפורמת CNAPP

הפתרון החדש הוא חלק מפלטפורמת אבטחת יישומי הענן (CNAPP) של אקווה סקיוריטי. כפלטפורמת אבטחת יישומי הענן הראשונה בשוק שכוללת פתרון להגנה על שרשרת האספקה, משנה אקווה את כללי המשחק בשוק ה־CNAPP ומציגה את אבטחת הדור הבא עם יכולות אינטגרציה נוספות והגנה מקצה לקצה על כל שלבי תהליך הפיתוח.

בין המאפיינים הבולטים של פתרון אבטחת שרשרת האספקה החדש של אקווה:

  • סריקת קוד: סריקת כל קוד המקור בארגון תוך דקות ישירות מתוך סביבת הפיתוח. שימוש בטכנולוגיית Aqua Trivy Premium לארגונים, על בסיס כלי הקוד הפתוח המוכח של אקווה לסריקת ואיתור חולשות ביישומי ענן, מסייעת באיתור חולשות וסיכונים נוספים כבר בשלב כתיבת הקוד ותיקונם ביעילות מבלי להאט או לעכב את הפיתוח.
  • ניהול תצורת האבטחה של סביבת ה־CI/CD: אבטחת סביבת האינטגרציה הרציפה והפריסה הרציפה (CI/CD) ליצירת סביבת DevOps במודל Zero-Trust.
  • אבטחת צינור ה-CI: זיהוי צינורות CI חדשים או פעילות חשודה בצינורות קיימים והחלת כללי ומדיניויות האבטחה בכל סביבת ה־CI של הארגון בלחיצת כפתור. אכיפת מדיניות אבטחה בצינור הפיתוח כדי להבטיח שכל פריט תוכנה חדש נחתם ונסרק לאיתור חולשות ושגיאות.
  • SBOM (software bill of materials) – הדור הבא: לא עוד רשימה פשוטה של מרכיבי התוכנה, אלא גם תיעוד של כל שלב ופעולה בתהליך. החל מעדכון השינוי האחרון בקוד, דרך תהליך הבנייה וכלה ביצירת פריט התוכנה הסופי. באמצעות חתימת קוד, יכולים משתמשים לאמת את תקינות הקוד ולדעת שהקוד שהם כותבים הוא זה שישמש במוצר הסופי. 
  • סקירת אמינות חבילות קוד פתוח: כלים לסקירת והערכת אמינותן של חבילות קוד פתוח. אקווה מדרגת כל חבילת קוד פתוח לפי מדדי איכות, תחזוקתיות, פופולריות וסיכון לשרשרת האספקה. פתרון האבטחה של אקווה יכול למנוע באופן אוטומטי שילוב קוד מסוכן בקוד המקור ומתריע בזמן אמת בפני המפתחים על שימוש בספריות קוד שעלולות להיות מסוכנות.

“עם הוספת יכולות אבטחת שרשרת אספקת התוכנה החדשות ליכולות ניתוח האיומים הדינמי ואבטחת זמן הריצה הקיימות, יצרנו פלטפורמת אבטחת יישומי ענן הולסיטית, מלאה והיחידה שמלווה את כל שלבי תהליך הפיתוח למניעת תקיפות שרשרת האספקה של יישומי ענן,” מסכם ג’רבי. 

אודות אקווה סקיוריטי

אקווה סקיוריטי (Aqua Security)  היא החברה המובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. הפלטפורמה של אקווה מאבטחת מגוון רחב של סביבות ענן ציבורי ופרטי: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה כ-600 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.

למידע נוסף בקרו ב- www.aquasec.com ועקבו אחרינו ב-twitter.com/AquaSecTeam.

לפרטים נוספים:

מאיה בכרך – maia@allmedia.co.il  – 050-862-0944

איתי נידרמן – itai@allmedia.co.il  – 054-5982230