À mesure que les pipelines de développement deviennent plus complexes, les pirates continuent d'exploiter les écosystèmes open source et l'automatisation CI/CD pour injecter du code malveillant là où il est le plus difficile à détecter. Les équipes ont besoin d'un moyen de vérifier chaque composant logiciel avant qu'il ne s'enfonce davantage dans le cycle de vie du développement logiciel (SDLC) sans ralentir les développeurs.
Afin d'aider les organisations à renforcer leurs défenses en amont, OPSWAT leSupply Chain MetaDefender Software Supply Chain pour TeamCity. Cette intégration intègre la détection automatisée des menaces, l'analyse des secrets et la visibilité des risques liés aux dépendances directement dans votre processus de compilation TeamCity, garantissant ainsi que chaque compilation est analysée et vérifiée pour des raisons de sécurité.
Supply Chain liés aux tiers et à Supply Chain s'accélèrent
Les pipelines de développement modernes s'appuient fortement sur des packages tiers, des écosystèmes open source, des API et des microservices distribués. Cette évolution a permis d'atteindre une vitesse et un niveau d'innovation considérables, mais elle a également élargi la surface d'attaque d'une manière que les outils de sécurité traditionnels n'étaient pas conçus pour gérer.
Les applications sont assemblées à partir de milliers de composants externes, d'images de conteneurs, de services cloud et de bibliothèques OSS. En fait, la plupart des organisations utilisent désormais des dépendances open source dans plus de 90 % de leurs applications. Mais cette dépendance comporte un risque réel :
- Les paquets tiers non vérifiés peuvent introduire des logiciels malveillants.
- Les logiciels libres obsolètes ou vulnérables peuvent créer des failles pouvant être exploitées à votre insu.
- Les chaînes de dépendances complexes rendent difficile la connaissance de ce qui est réellement en cours d'exécution en production.
- L'automatisation CI/CD accélère le développement, mais peut également accélérer la propagation des compromissions si elle n'est pas contrôlée.
Comment ça marche
Intégrez le plugin à TeamCity en quelques minutes :
Facile à utiliser et à entretenir
TeamCity remplace automatiquement les versions précédentes. Vous pouvez à tout moment revenir à une version antérieure ou supprimer le plugin depuis l'interface d'administration.
Que vous gériez quelques microservices ou des centaines de référentiels, le plugin MetaDefender Software Supply Chain fournit une base évolutive pour sécuriser votre chaîne logistique logicielle.
Avantages
Détection et prévention des logiciels malveillants
Analyse vos builds à la recherche d'artefacts malveillants dès le début du cycle de vie du développement logiciel (SDLC) et détecte les paquets compromis provenant de sources telles que npm, PyPI ou Maven avant qu'ils n'entrent en production.
Prévention des fuites de secrets
IdentifieAPI , mots de passe, jetons et autres données sensibles codés en dur avant qu'ils ne soient accidentellement transmis plus loin dans le pipeline.
Dépendance et aperçu des risques liés à l'open source
Met en évidence les dépendances obsolètes, non vérifiées ou risquées, y compris les dépendances transitives qui sont généralement faciles à négliger.
Software et transparence des logiciels
Génère des rapports SBOM dans des formats standardisés (CycloneDX, SPDX) pour chaque build, offrant ainsi à votre équipe une visibilité sur tous les composants.
Vous avez des questions sur la configuration ou les meilleures pratiques ? Obtenez des conseils personnalisés pour votre environnement CI/CD.
