Docker-Container-Sicherheit

Sind Open-Source-Sicherheitslücken in Ihren Containern versteckt?

Docker-Container helfen Entwicklungs- und DevOps-Teams, die Agilität zu erhöhen und Anwendungen schneller bereitzustellen. Diese Vorteile können jedoch dazu führen, dass Teams, die die Anwendungen einsetzen und verwalten, weniger Überblick und Kontrolle haben. In Containern werden Anwendungen mit vielen Softwareprogrammen und Dateien gebündelt, die Sie möglicherweise nicht kennen oder nicht in Ihrer Produktionsumgebung haben möchten. Wenn die Nutzung zunimmt, steigen auch die Sicherheitsrisiken von potenziellen Open-Source-Sicherheitslücken, die darin versteckt sind.

Gewährleistung der Container-Sicherheit vor der Bereitstellung

Black Duck Hub erhöht die Transparenz in Bezug auf Open-Source-Software und ermöglicht Ihnen, die Container-Sicherheit, die Einhaltung von Lizenzanforderungen und die Codequalitätsrisiken zu identifizieren, zu steuern und zu überwachen.

Das intelligente Scanningverfahren von Hub und die Open-Source-Identifikation erfolgen mithilfe der branchenweit umfassendsten Datenbank KnowledgeBase™. Die Datenbank enthält mehr als 1,5 Millionen Open-Source-Projekte und erweiterte Funktionen zur Zuordnung bekannter Sicherheitslücken. Diese Funktionen bieten eine frühere Benachrichtigung und einen Leitfaden zur Behebung der Lücken, was es in der NVD nicht gibt. Hub ermöglicht eine sichere und agile Entwicklung dank des flexiblen Richtlinienmanagements und der Integration mit beliebten Buildtools/Tools zur kontinuierlichen Verbesserung, einschließlich Jenkins und TeamCity.

Black Duck Hub ermöglicht Ihnen Folgendes:

  • Untersuchung und Identifikation von Open Source – Inventarisierung von Open Source auf allen Ebenen von Docker-Containern mit Erkenntnissen zu Verteilungsquellen und Revisionsnummern. Durch den vollständigen Scan Ihrer Codebasis findet Hub Open-Source-Komponenten, die Lösungen auf Grundlage von Manifestdateianalysen nicht erkennen, einschließlich nicht deklarierter und modifizierter Komponenten.
  • Zuordnung bekannter Sicherheitslücken – Identifikation bekannter Sicherheitslücken für die Open-Source-Software in Ihren Docker-Containern. Sie erhalten Informationen darüber, welche bereits gepatcht wurden, und eine Anleitung zur Behebung von Sicherheitslücken für jene, die noch nicht gepatcht wurden.
  • Überwachung neuer Sicherheitslücken – Sie werden früh über neue Sicherheitslücken informiert, sobald diese gemeldet werden (im Durchschnitt 3 Wochen früher als bei der NVD).
  • Durchsetzung von Richtlinien zur Open-Source-Nutzung – Legen Sie ausnahmenbasierte Richtlinien fest, die zur Berichterstattung und zur Automatisierung des Build-Bereitstellungsprozesses eingesetzt werden können.

 

Live-Demo anfordern