Veracode lancia uno strumento per la sicurezza dei contenitori che protegge lo sviluppo di applicazioni native sul cloud

BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, leader mondiale nello sviluppo di soluzioni per i test di sicurezza delle applicazioni, oggi ha annunciato di avere ampliato la funzionalità della sua piattaforma Continuous Software Security includendo uno strumento per la sicurezza dei contenitori, Veracode Container Security, già accessibile dagli attuali clienti. Questa nuova offerta, progettata per rispondere alle esigenze dei team di sviluppatori di software nativo sul cloud, soddisfa i requisiti riguardanti la scansione delle vulnerabilità, la configurazione sicura e la gestione dei segreti relativi alle immagini dei contenitori.

Spiega Brian Roche, Chief Product Officer Veracode: “Mentre gli sviluppatori adottano prassi di computing nativo sul cloud, i contenitori diventano sempre più importanti ai fini dell’efficienza dell’azienda. Questo lancio contribuisce ad annullare un gap rilevante nel mercato delle soluzioni per gli sviluppatori facili da usare e dotate di funzioni cruciali per la sicurezza dei contenitori. Tale ampliamento della nostra piattaforma metterà in grado i nostri clienti di eseguire test di sicurezza per stili di implementazione e architetture più moderne”.

La sicurezza dei contenitori è un requisito sempre più importante

I contenitori – veloci unità portatili di software in cui il codice è scritto in modo che un’applicazione possa essere eseguita velocemente e affidabilmente in una varietà di ambienti di computing – vengono utilizzati sempre più spesso per semplificare l’implementazione del software e la gestione della configurazione dell’ambiente di runtime. Forniscono un ecosistema di archivi, tecnologie di orchestrazione e funzionalità che fanno fronte a problemi correlati, come la gestione della configurazione e comunicazioni service-to-service. Con le loro istanze create nelle pipeline a partire dal codice, i contenitori presentano il vantaggio dell’immutabilità, ossia nella fase di produzione non vengono aggiornati, riconfigurati né modificati da patch. Invece, l’immagine sottostante viene aggiornata con nuove funzionalità e implementata nuovamente, contribuendo a migliorare l’efficienza nell’ambiente di produzione.

Nonostante i loro vantaggi, i contenitori sono colpiti da molti degli stessi problemi che tradizionalmente affliggono la produzione fisica o l’hardware di server virtuali, come vulnerabilità introdotte attraverso software aggiuntivo, segreti gestiti in modo scadente (come le chiavi e le credenziali di Amazon Web Services in Dockerfiles) e configurazioni di sicurezza errate. Ciò ha comportato una maggiore richiesta di prodotti che facciano fronte a questi problemi e ad altri correlati – si prevede che il mercato globale della sicurezza dei contenitori raggiungerà un valore di 3,9 miliardi di dollari entro il 2027*. La funzione di scansione della sicurezza di un contenitore ne analizza le immagini rispetto a standard aziendali o di uno specifico settore per individuare processi non sicuri, configurazioni errate che comporterebbero una vulnerabilità e controllo dell’accesso e dell’autenticazione inadeguato.

Veracode Container Security si integra nell’ambiente dello sviluppatore

Molti prodotti già presenti sul mercato sono progettati per proteggere i contenitori nella fase di runtime e offrono supporto limitato per gli sviluppatori, presentando un problema notevole per quanto riguarda la risoluzione tempestiva. Invece la soluzione Veracode si integra nella pipeline CI/CD (continuous integration/continuous delivery) ed è disponibile dall’interfaccia della riga di comando. Offrendo funzioni di rilevamento delle vulnerabilità e risoluzione, gestione dei segreti ed eliminazione dei problemi di configurazione della sicurezza per i sistemi operativi più diffusi, presenta agli sviluppatori indicazioni sulla risoluzione tempestivamente nel ciclo di vita dello sviluppo del software affinché i contenitori non sicuri non vengano trasferiti alla fase di produzione.

I risultati ottenuti da Veracode Container Security sono disponibili in una varietà di formati in base alla scelta dell’utente – testo, JSON (JavaScript Object Notation) e SBOM (Software Bill Of Materials, la distinta base del software), come CycloneDX, SWID (Software Identification Tagging) o SPDX (Software Packaging Data Exchange) – rendendone facile l’integrazione con altri strumenti. Danno così agli sviluppatori e ai loro team gli strumenti di cui hanno bisogno per soddisfare le loro specifiche esigenze, per cui possono individuare e correggere le vulnerabilità nelle primissime fasi del ciclo di sviluppo, con la fiducia che il loro ambiente di applicazioni containerizzate è sicuro.

“Veracode Container Security avrà un ruolo determinante per i nostri sviluppatori nel far sì che i carichi di lavoro che implementano nel nostro cloud siano sicuri”, commenta il Direttore IT presso un’azienda operante nel settore automotive. “Senza questo strumento, occorrerebbero settimane al nostro team per ricevere i risultati riguardanti i contenitori – che comunque sarebbero disponibili sono in formati limitati – e adottare le misure necessarie. Ora invece possiamo integrare i risultati nella pipeline prima che siano trasferiti alla fase di produzione e ne risultano efficienze in termini di tempo e di costi per la nostra azienda”.

Per maggiori informazioni su Container Security leggere di più qui.

*Research and Markets, rapporto “Global Container Security Market Size, Share & Industry Trends Analysis Report By Component (Products and Services), By Services Type, By Organization Size, By Vertical, By Regional Outlook and Forecast, 2021-2027”, febbraio 2022

Informazioni su Veracode

Veracode è uno dei principali partner nel processo “AppSec” per la creazione di software sicuro, che riduce il rischio di violazioni della sicurezza e aumenta la produttività dei team di sviluppo e sicurezza. Grazie a Veracode, le aziende possono portare avanti la loro attività e il mondo. Con la combinazione di automazione, integrazione, velocità e reattività del processo offerta da Veracode, le aziende ottengono risultati accurati e affidabili e possono così concentrarsi sulla correzione, non solo sull’individuazione, di potenziali vulnerabilità. Ulteriori informazioni sul sito www.veracode.com, sul blog di Veracode e su Twitter.

Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l'unico giuridicamente valido.