소프트웨어 구성 분석

개발자 통합 및 컨텍스트 인식 우선순위를 통해 오픈 소스 취약점과 라이선스 규정 준수 문제를 선제적으로 해결합니다.

무료 평가판 요청

취약점이 점점 더 확산되고 파악하기 어려워지면서 조직에는 오픈 소스 리스크를 해결하기 위한 더 빠르고 쉬우며 원활한 방법이 필요합니다. 클라우드 네이티브 인프라와 애플리케이션 레이어 간의 모호한 경계는 DevOps 도구에 내장된 소스 코드를 보호할 수 있는 기회를 제공합니다. 오픈 소스 보안과 규정 준수에 대한 연결된 접근 방식을 취함으로써 조직은 오탐을 최소화하고 조사 결과에 우선순위를 두며 코드 보안을 더 빠르게 유지할 수 있습니다.

오픈 소스 코드의 취약점에 대한 Unit 42의 연구를 읽어보세요.

보고서 다운로드

오픈 소스에 의존하는 클라우드 네이티브 애플리케이션

오픈 소스 소프트웨어는 클라우드 네이티브 애플리케이션의 거대한 구성 요소로서, 새 기능을 구축하는 개발자들은 이를 통해 처음부터 개발할 필요 없이 한발 앞서 시작할 수 있습니다. 그러나 이러한 이점이 있는 반면, 타사 오픈 소스 소프트웨어는 클라우드 네이티브 보안 프로그램의 일부로 해결해야 하는 보안 및 규정 준수 리스크를 내포합니다.

종속성의 무분별한 확산으로 인한 리스크

오픈 소스 소프트웨어는 패키지 종속성의 수많은 계층으로 구성되어 애플리케이션 스택 전체에서 OSS의 일부가 사용되는 위치와 방법을 파악하기가 어렵습니다. 또한 경우에 따라 취약점은 직접 패키지에 묻혀 있기도 합니다. 이러한 취약점 및 라이선스를 추적하려면 지속적이고 통합된 접근 방식이 필요합니다.

커버리지 간극을 유발하는 사일로화된 보안 툴링

애플리케이션의 인프라에 대한 전체 컨텍스트 없이는 식별된 취약점이 애플리케이션 내에서 실제 노출된 것인지 또는 낮은 리스크를 나타내는지 여부를 판단하기 어렵습니다. 애플리케이션과 인프라 보안 결과를 연결함으로써 취약점을 전체 코드 베이스의 컨텍스트에서 표면화하여 더 나은 우선순위 지정과 더 빠른 수정이 가능합니다.

Prisma Cloud는 개발자가 속도를 늦추지 않고도 오픈 소스 리스크를 쉽게 해소할 수 있습니다.

코드, 빌드, 구축 및 런타임 전체에 DevOps 도구를 통합함으로써 Prisma Cloud는 오픈 소스 패키지의 취약점 및 라이선스 규정 준수 문제를 선제적으로 스캔합니다. 코드 수준 인프라와 애플리케이션 약점을 연결하는 Prisma Cloud의 데이터 모델, 완전한 종속성 추론 및 세분화된 버전 범프 수정은 다른 SCA 솔루션과 차별화됩니다.

연결된 인프라 및 앱 리스크에 대한 단일 뷰
개발자 도구 및 워크플로에 통합
패키지 및 컨테이너 이미지에 대한 전체 수명 주기 보안

PRISMA CLOUD 솔루션

소프트웨어 구성 분석에 대한 개발자 중심, 컨텍스트 인식 접근 방식

고도의 정확성과 컨텍스트 인식

가장 평판이 좋은 취약점 데이터베이스를 기반으로 구축되고, 업계에서 가장 강력한 인프라 정책 데이터베이스에 연결되는 Prisma Cloud 소프트웨어 구성 분석(SCA)은 리스크를 이해하고 수정을 빠르게 구현해야 하는 컨텍스트 개발자에게 취약점을 표면화합니다. Prisma Cloud는 다음 큰 취약점을 그 자리에서 차단하는 데 필요한 폭넓고 심층적인 오픈 소스 커버리지를 제공합니다.

탁월한 정확도로 언어 및 패키지 관리자 전체 스캔
가장 널리 사용되는 모든 언어 및 30개 이상의 업스트림 데이터 소스를 지원함으로써 오픈 소스 패키지의 취약점을 식별하여 오탐을 최소화합니다.
완전한 오픈 소스 보안 신뢰성을 위한 업계 최고의 소스 활용
Prisma Cloud는 위치에 관계없이 오픈 소스 종속성을 스캔하고, NVD 및 Prisma Cloud Intelligence Stream 등의 퍼블릭 데이터베이스와 비교하여 취약점을 식별하고 중요한 수정 정보를 표면화합니다.
인프라와 애플리케이션 리스크 연결
코드베이스 내에서 실제 노출된 취약점으로 범위를 좁혀 오탐을 방지하고 복구의 우선순위를 더 빨리 정합니다.
모든 종속성 깊이에서 취약점 식별
Prisma Cloud는 패키지 관리자 데이터를 수집하여 종속성 트리를 가장 먼 계층까지 추론함으로써 뷰에서 숨겨져 있는 오픈 소스 리스크를 식별합니다.
소프트웨어 공급망 시각화 및 카탈로그화
공급망 그래프는 파이프라인 및 코드에 대한 통합 인벤토리를 제공합니다. 이 모든 연결의 시각화와 더불어 소프트웨어 재료 명세서(SBOM) 생성 기능을 통해 애플리케이션 리스크 추적과 공격 표면 이해가 더 쉬워집니다.

유연한 수정 기능과 완벽하게 통합

오픈 소스 라이브러리가 사용되는 방법과 위치에 대한 완전한 컨텍스트는 개발자만 가지고 있기 때문에 이에 액세스할 수 있는 피드백을 만드는 것이 취약성을 패치하는 가장 좋은 방법입니다. Prisma Cloud의 네이티브 개발자 도구 통합과 CLI 도구의 확장 가능성을 활용함으로써 SCA는 개발자 워크플로에 완전히 통합되어 취약점이 다음과 같이 적절한 시간과 위치에 표면화됩니다.

오픈 소스 보안을 개발자 도구 및 워크플로에 통합
IDE 및 VCS 풀/병합 요청을 통한 실시간 취약점 피드백이 있는 코드 베이스에 새로운 패키지를 통합할 수 있는 확신을 개발자에게 부여합니다.
수명 주기 전체에 사용자 지정 정책을 생성 및 적용
취약점 관리를 통합하여 리포지토리, 레지스트리, CI/CD 파이프라인 및 런타임 환경을 스캔하고 어떤 소프트웨어를 차단하거나 허용할지 결정합니다.
핵심 변경 사항을 도입하지 않고 문제 해결
중요한 기능을 중단할 위험 없이 직접 및 과도적 종속성의 취약점을 수정할 수 있는 권장 최소 업데이트를 제공합니다. 패키지별로 세분화된 버전을 선택할 수 있는 유연성으로 여러 문제를 한 번에 해결합니다.
소프트웨어 재료 명세서 작성
Prisma Cloud는 리포지토리에 있는 종속성을 찾아서 SBOM(Software Bill Of Materials)와 IBOM(Infrastructure Bill Of Materials)을 구축하고 표준 형식으로 내보냅니다.

CNAPP의 일부

클라우드 네이티브 애플리케이션을 보호할 때 완전한 커버리지를 보장하는 유일한 방법은 각 계층과 개발 수명 주기 단계에 취약점을 스캔하는 것입니다. SCA는 코드부터 클라우드까지 리스크를 식별하는 Prisma Cloud의 클라우드 네이티브 애플리케이션 보호 플랫폼의 하나의 구성 요소일 뿐입니다.

개발자가 소프트웨어를 구축하고 테스트할 때 코드에서 리스크 식별
모든 리포지토리(예: GitHub)와 레지스트리(예: Docker, Quay, Artifactory 등)의 오픈 소스 패키지와 이미지에서 취약점과 규정 준수 문제를 검사합니다.
검증된 이미지만 구축에 제공
Prisma Cloud 이미지 스캔 및 컨테이너 샌드박스 분석을 활용하여 악성 이미지를 식별 및 차단하고, 안전한 이미지만 프로덕션에 도달하도록 설정합니다.
모든 런타임 환경에서 활동 차단
중앙 집중형 콘솔에서 모든 런타임 정책을 관리함으로써 모든 구축에 보함을 포함하도록 합니다. 인시던트를 MITRE ATT&CK 프레임워크에 매핑하고 자세한 포렌식 및 자세한 메타데이터를 첨부하여 SOC 팀이 임시 클라우드 네이티브 워크로드에서 위협을 추적하는 데 도움이 됩니다.
컨텍스트 인식 런타임 보안
완전한 클라우드 자산 인벤토리, 구성 평가, 자동 복구 등을 사용하여 런타임 시 데이터 침해 및 규정 준수 위반으로 이어질 수 있는 구성 오류와 취약점을 탐지하고 예방합니다.

OSS 라이선스 규정 준수

수동으로 규정 준수 상태를 검토할 때 라이선스 사용량 요구 사항을 준수하지 않는 오픈 소스 라이브러리가 발견되기만을 기다리지 마세요. Prisma Cloud는 종속성에 대한 오픈 소스 라이선스를 카탈로그로 기록하고, 사용자 지정이 가능한 라이선스 정책을 기준으로 구축을 경고하거나 차단할 수 있습니다.

비용이 많이 들어가는 오픈 소스 라이선스 규정 위반 예방
피드백을 조기에 표면화하고 널리 사용되는 모든 언어 및 패키지 관리자를 지원하여 오픈 소스 패키지 라이선스 위반을 기준으로 구축을 차단합니다.
표준 산업 용도를 기반으로 기본 정책 활용
일반적인 라이선스 유형에 대한 독단적(opinionated) 심각도 수준을 적용한 기본 정책 및 비표준 라이선스 유형 언어의 패턴 매칭을 통해 허용되는 용도를 쉽게 결정할 수 있습니다.
사용자 지정 정책을 생성하여 내부 규정 준수 요구 사항 적용
카피레프트 및 허용적 라이선스에 대한 내부 요구사항에 맞게 라이선스 유형을 기준으로 규칙을 설정합니다. DevOps 도구 통합으로 정책 위반을 조기에 차단함으로써 조직은 향후 라이선스 비준수 문제를 처리해야 하는 부담을 피할 수 있습니다.