Slim.AI présente la sécurité des conteneurs de la chaîne d'approvisionnement du logiciel bêta en tant que service

Austin, Texas : Nous avons appris à nos dépens que, comme le dit John Amaral, PDG de Slim.AI, “Votre chaîne d’approvisionnement en logiciels est aussi sécurisée que son maillon le plus faible”. Amen, mon frère !

John Amaral, PDG de Slim.AI

John Amaral, PDG de Slim.AI : “Notre valeur fondamentale est” Connaître votre logiciel “. “

Slim.AI

De nombreuses attaques, violations et exploits très médiatisés tels que le fiasco de SolarWinds et la vulnérabilité Log4J en sont de parfaits exemples. En effet, la situation est devenue si grave que le président Joseph Biden a publié un décret exécutif nous appelant à tous sécuriser la chaîne d’approvisionnement des logiciels. Lorsque les politiciens prêtent attention aux logiciels, les choses deviennent réelles.

Slim.AI relève ce défi en annonçant au Open Source Summit à Austin, au Texas, son service de sécurité de la chaîne d’approvisionnement logicielle en version bêta. Ce service aidera les organisations à optimiser et sécuriser en continu et automatiquement leurs conteneurs et à minimiser les risques de la chaîne d’approvisionnement logicielle.

Ce service est construit sur la base du projet open source de Slim.AI, DockerSlim. Ce programme de développement populaire optimise et sécurise vos conteneurs en analysant votre code et en jetant le code inutile, « réduisant » ainsi la surface d’attaque de vos conteneurs. Il peut également réduire la taille de votre conteneur jusqu’à 30 fois.

C’est impressionnant. Comme l’a dit Amaral, “ Actuellement, des dizaines de milliers de développeurs et d’équipes utilisent le logiciel SaaS open source et gratuit de Slim pour comprendre ce qu’il y a dans leurs conteneurs, réduire la surface d’attaque des conteneurs, supprimer les vulnérabilités et envoyer uniquement le code dont ils ont besoin.” Mais, le projet open source n’évolue pas.Ainsi, avec ce nouveau service, Amaral a poursuivi : “Nous passons de l’aide aux développeurs individuels et aux petites équipes à une solution qui permet aux organisations d’atteindre continuellement et automatiquement ces résultats à grande échelle.”

Cela se fait en intégrant le code avec des registres de conteneurs, des pipelines d’intégration continue/déploiement continu (CI/CD) et des outils afin que vous puissiez l’automatiser et l’intégrer dans les flux de travail existants pour fournir rapidement des logiciels sécurisés en production.

Les intégrations actuelles et prévues incluent les registres Docker, AWS ECR, Google GCR, GitHub, DigitalOcean et Quay, ainsi que les plateformes Jenkins, GitLab et GitHub CI/CD. Des interfaces de programmation d’applications (API) sont également mises à la disposition des partenaires d’accès anticipé.

De plus, grâce à ses API, le service vous permet d’utiliser plusieurs scanners de vulnérabilité sur vos conteneurs pour trouver les problèmes de sécurité avant qu’ils ne vous mordent.

Tout cela fait partie de ce qu’Amaral appelle “Les quatre S de la sécurité de la chaîne d’approvisionnement logicielle”.

La bonne nouvelle concernant la chaîne d’approvisionnement des logiciels open source est, a expliqué Amaral, “il est vraiment facile pour les développeurs d’incorporer de vastes bibliothèques de code dans des applications, de les conditionner dans des conteneurs et de les expédier en production d’un simple clic. Le code en cours d’exécution dans la production est l’enfant de la chaîne d’approvisionnement massive.” La mauvaise nouvelle est qu'”il supporte les avantages et les risques de toutes les décisions, contributions, fonctionnalités et défauts manifestés par ses créateurs dans leur ensemble”.

Comme CodeNotary, une société de chaîne d’approvisionnement en logiciels, l’a récemment observé, “Un logiciel n’est jamais complet et la base de code, y compris ses dépendances, est un document constamment mis à jour. Cela signifie automatiquement que vous devez le suivre, bon et mauvais, en gardant à l’esprit que quelque chose de bon peut tourner mal.” Oui, exactement !

La réponse, selon Amaral, consiste à créer un programme complet et automatisé de sécurité de la chaîne d’approvisionnement logicielle (SSCS) : “The Four Ss”. Ceux-ci sont:

  1. Nomenclature du logiciel: Il s’agit d’une liste de tous les composants d’un logiciel, tels que les bibliothèques open source et les composants tiers. Les approches SBOM bien connues incluent l’échange de données de progiciels (SPDX) de la Fondation Linux et les niveaux de chaîne d’approvisionnement pour les artefacts logiciels, ou SLSA (salsa)

  2. Signature: La signature est un moyen d’attacher numériquement une identité de développeur vérifiée et immuable à un morceau de code. Couplé à d’autres outils, il permet de créer un enregistrement transparent et cryptographiquement sécurisé des modifications logicielles et manifeste une chaîne de contrôle numérique permanente et fiable pour les logiciels et les artefacts associés. Sigstore et notaire.

  3. Minceur : Cela minimise votre empreinte de code de production en supprimant le code inutile. Cela réduit également de manière inhérente la complexité de la chaîne d’approvisionnement logicielle, la surface d’attaque logicielle et le risque global.

  4. Partage: Aucune personne ou organisation ne peut fournir une solution SSCS complète. La communication sur SSCS et la collaboration sur des solutions à la fois au sein de votre organisation et avec d’autres groupes sont essentielles pour faire progresser l’industrie et protéger notre écosystème mondial dépendant des logiciels. En matière de sécurité open source, nous sommes tous concernés.

Chez Slim, Amaral a conclu : “Notre valeur fondamentale est” Connaître votre logiciel “. Les outils de Slim.AI peuvent être utilisés avec des scanners de vulnérabilité et des générateurs de SBOM pour créer une vue globale de la chaîne d’approvisionnement logicielle.” Avec l’optimisation de Slim, vous pouvez vous assurer que les équipes n’expédient que ce dont elles ont besoin pour la production.

Vouloir en savoir davantage? Contactez l’équipe Slim.AI pour un accès anticipé. Si vous êtes au Open Source Summit, vous pouvez visiter l’équipe Slim.AI et en savoir plus sur le programme au stand B2.

Histoires liées :