Решение CICADA8 для безопасной разработки ПО
Компания CICADA8 объявила о запуске решения Dependency Firewall для контроля безопасности зависимостей и сторонних компонентов, используемых в разработке ПО. Продукт обеспечивает защиту цепочки поставок за счет фильтрации небезопасных артефактов до их попадания в инфраструктуру заказчика.
CICADA8 Dependency Firewall предлагает проактивный подход к управлению безопасностью зависимостей, предотвращая угрозы на этапе входа в CI/CD-конвейер или инфраструктуру. Решение работает как межсетевой экран, в реальном времени анализируя внешние компоненты на уязвимости, чистоту лицензий, наличие секретов и соответствие политикам безопасности, принятым в организации. Уязвимые, вредоносные или не соответствующие политикам артефакты блокируются до их попадания в организацию, а разработчики получают подробный отчет о причинах блокировки. CICADA8 Dependency Firewall также проводит проверку компонентов ПО на этапе их публикации во внутренние репозитории.
Разработчики могут гибко настраивать политики анализа и блокировки артефактов на основе типов лицензий, CVE/CWE, возраста артефакта и оценок CVSS. CICADA8 Dependency Firewall интегрируется с Kaspersky OSS, БДУ ФСТЭК России, EPSS и другими источниками open source.
Еще одна возможность CICADA8 Dependency Firewall – генерация реестра всех сторонних компонентов, использующихся в кодовой базе программного продукта (SBOM) в реальном времени. Решение автоматически создает и экспортирует SBOM в формате SPDX, что дает разработчикам детализированную информацию обо всех артефактах, упрощает проведение аудита безопасности ПО и обеспечение соответствия нормативным требованиям.
Решение работает как HTTPS-прокси или пользовательский реестр артефактов и совместимо с GitLab, Harbor, Kubernetes и другими популярными CI/CD-платформами. CICADA8 Dependency Firewall поддерживает 12 экосистем языков программирования, контейнеры, бинарные файлы, пакеты ОС и скрипты. Такая совместимость со всеми основными типами артефактов и платформ делает продукт универсальным: он подходит для процессов безопасной разработки как новых, так и legacy-решений.