Daha fazla kuruluş, yeni iş özelliklerini ve dijital dönüşüm girişimlerini desteklemek için bulutta yerel uygulama geliştirmeye geçtikçe, yazılım tedarik zinciri sorunları daha görünür hale geldi. Bulutta yerel geliştirme, büyük ölçüde açık kaynaklı yazılıma dayandığından, kuruluşların bu uygulamalara giren bileşenleri düşünmeye başlaması gerekir.

Geliştiriciler, bu yerel bulut uygulamalarını oluşturmak için çevik uygulama geliştirme uygulamalarını ve hızlı yayın döngülerini benimsedi ve kapsayıcılarını ve sunucusuz işlevlerini oluşturmak için büyük ölçüde açık kaynak koduna ve geniş çapta dağıtılmış ve genellikle geniş bir topluluktan mikro hizmetlere güveniyorlar. Kaynak kodu öncelikle yerleşik bir ekosistemden gelse de, bazılarının bilinmeyen kaynaklardan veya eskimiş projelerden gelmesi yaygın bir durumdur.

Geleneksel güvenlik yaklaşımları, özellikle modern bulut bilgi işlem ve sunucusuz mimariler için uygulama geliştirmeye yönelik bu yeni yaklaşımı ele alacak şekilde tasarlanmamıştır. burası bölge bulutta yerel uygulama koruma platformları hitap edecek şekilde gelişti. Gartner, CNAPP'yi "geliştirme ve üretim genelinde bulutta yerel uygulamaların güvenliğini sağlamaya ve korumaya yardımcı olmak için tasarlanmış entegre bir güvenlik ve uyumluluk yetenekleri seti" olarak tanımlıyor.

Yakın tarihli bir Frost & Sullivan raporuna göre, CNAPP satışları 1.7'de 2021 milyar doları aşarak 49'den yaklaşık %2020 daha yüksek. Frost & Sullivan, CNAPP gelirlerinin 26'den 2021'ya kadar yaklaşık %2026'lık yıllık bileşik büyüme oranında artacağını tahmin ediyor. raporun yazarı, küresel siber güvenlik sektör müdürü Anh Tien Vu, "bulut altyapısı güvenliğini güçlendiren ve uygulamaları ve verileri yaşam döngüleri boyunca koruyan birleşik bir bulut güvenlik platformuna yönelik artan talep nedeniyle" 2026 yılına kadar gelirlerin 5.4 milyar doları aşacağını tahmin ediyor.

Geliştirme Sırasında Sorunları Önleyin

Saldırganlar, yazılım tedarik zincirine giren güvenlik açıklarından yararlanmak için bulutta yerel hedeflere giderek daha fazla yöneliyor. Geçen yıl, yaygın olarak dağıtılan Log4j Java çalışma zamanı kitaplığındaki Log4Shell güvenlik açığı, böyle bir güvenlik açığının uygulama ekosistemi üzerinde yaratabileceği geniş etkiyi gösterdi. Java uygulamalarının yaygın olarak dağıtılmış dağıtımı göz önüne alındığında, kuruluşlar onları bulmak ve yamalamak için çabalayın Apache Foundation'ın kamuoyuna açıklamasından sonra.

Enterprise Strategy Group kıdemli analisti Melinda Marks, "Log4j ile insanlar bu kitaplıkların kullanımda olup olmadığını bilmiyorlardı" diyor. Uzmanlar, Log4j'den sık sık yazılım geliştirme yaşam döngülerinin daha yakın işbirliği yapması gereken CISO'lara ve CIO'lara bir uyandırma çağrısı olarak bahseder ve sola kay.

Marks, CNAPP'nin kuruluşların, uygulama çalışma zamanlarını üretime dağıtmadan önce yazılım geliştiricilerin koddaki potansiyel kusurları keşfetmede başı çektiği DevSecOps süreçleri oluşturmasına olanak sağladığını söylüyor, ancak aynı zamanda daha da ileri gidiyor. Marks, "Uygulamalarınızı buluta dağıtmadan önce güvenlik sorunlarını önlemek için bu önemlidir, çünkü bunları bir kez dağıttığınızda bilgisayar korsanları tarafından kullanılabilirler," diyor.

Öncelikleri Belirlemek için Çalışma Zamanını İzleyin

CNAPP'ler, kapsayıcılar ve kod olarak altyapı (IaC), bulut güvenlik duruş yönetimi (CSPM), bulut altyapı yönetimi (CIEM) ve çalışma zamanı bulut iş yükü koruma platformları gibi geliştirme eserlerinin taranması dahil silo halindeki yetenekleri birleştirir. CNAPP, daha bütünleşik bir yaklaşım ve bulut tabanlı bilgi işlem ortamlarının risklerine ilişkin daha iyi görünürlük sağlamanın yanı sıra, güvenlik açıklarını azaltmak için ortak kontroller sağlar.

CNAPP ayrıca uygulama geliştirme, siber güvenlik ve BT altyapısı ekipleri arasındaki işbirliğini kolaylaştırarak, uygulamalar üretime dağıtılmadan önce güvenlik açıklarını tespit etmenin ve azaltmanın yolunu açar. gibi güvenlik sağlayıcıları Check Point ve Palo Alto Networks güvenlik platformlarına CNAPP yetenekleri ekliyor.

Marks, güvenliği sola kaydırma konusunda bir yanlış kanı olduğu konusunda uyarıyor: Bu tamamen güvenliği yazılım geliştirme ve oluşturma döngülerinde öne taşımakla ilgili. "Ayrıca çalışma zamanı izlemeyi bağlama ve geliştirici iş akışları için bu bağlama sahip olma ihtiyacı var, böylece uygulamanın bulutta gerçekte nasıl çalışacağı üzerinde hiçbir etkisi olmayan şeyleri düzeltmek için zaman kaybetmiyorlar" diyor.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/dr-tech/tackling-software-supply-chain-issues-with-cnapp