帕洛阿尔托网络公司在Prisma Cloud中增加了软件组成分析 媒体

Palo Alto 网络安全公司强化开放源码软件安全

关键要点

Palo Alto Networks 于周二宣布，其 Prisma Cloud 平台如今可以检测和修复开放源码软件中的漏洞。这项功能将进一步推动该公司在竞争激烈的云安全市场中的表现。通过引入软件组成分析(SCA)，Palo Alto 旨在帮助开发者和安全团队主动优先处理影响应用程序生命周期的已知漏洞。Prisma Cloud SCA 承诺在应用程序上线前就能识别和修复开源软件中的漏洞。

Palo Alto Networks 的高管 Ankur Shah 表示：“利用开源软件的开发者应该能够自信地构建应用，而不必担心可能给组织带来风险。”他指出，在平均每个应用程序中，有 75 的组件来自开源，因此 Prisma Cloud 上的 SCA 对于从代码到云的安全保护至关重要，并能够让开发者以更快的速度构建应用。

Palo Alto Networks 绝非唯一一家在努力弥合安全与开发团队之间差距的公司。

企业战略集团的高级分析师 Melinda Marks 表示，安全团队在跟上云原生开发方面面临很多挑战。Marks 指出，组织面临的安全事件主要来自多种问题，包括配置错误、访问相关的问题以及其专有代码或开源组件的代码漏洞。

Marks 称，至今为止，安全团队通常倾向于添加不同的工具来尝试解决这些问题，但如果警报堆积，他们可能无法及时处理，也无法判断哪项问题最需优先解决，从而使安全问题让他们更容易受到攻击。

“因此，我们看到越来越多的厂商试图提供所需的上下文，以加快修复速度，管理风险，”Marks 表示， “Palo Alto Networks 一直在战略上进行收购，并将其整合到 Prisma Cloud 中，帮助客户整合工具，从而更好地优先处理需要采取的措施以降低风险。”

Marks 还指出，云原生应用保护平台CNAPP领域竞争激烈，许多厂商通过云安全态势管理(CSPM)的工具与开发者工具结合，来提高修复效率，应用安全AppSec供应商也将其解决方案与运行时监测结合。Marks 表示，这些厂商正试图帮助开发者承担部分安全责任，以便更高效地测试和修复代码，确保软件发布时不会存在严重的安全缺陷，同时也让安全团队能够获得可视性和控制权，管理风险。

近日，Aqua 针对代码到运行时的消息也发表了一项公告。其他在这一领域的竞争者包括：Orca 和 Wiz 利用运行时上下文加快修复速度；Lacework 收购了 Soluble，将其 CSPM 功能与 Soluble 的静态安全测试能力结合；Checkmarx、Check Point、Contrast Security 和 Invicti 则在应用安全方面帮助客户获取上下文，以便有效修复并协助安全团队更好地与开发者合作。

Synopsys 软件完整性集团的高级安全解决方案经理 Mike McGuire 补充道，SCA 技术，以及其在现代云原生应用开发环境中的应用，近年来发生了显著变化。

McGuire 指出，通过与开发环境中的各种工具如 IDE、SCM、CI/CD 工具和容器编排平台集成，将自动化的 SCA 检查嵌入 DevOps 工作流中，使得组织能够持续评估应用程序在开源组件、依赖关系和用于构建和部署它们的基础设施方面的安全态势。

“虽然这些技术并非新颖或独特于某