Orca Security propose une sécurité contextuelle de type « Shift Left »
mai 2022 par Marc Jacob
Orca Security annonce une solution de sécurité du cloud pour fournir une sécurité contextuelle de type « Shift Left » pour l’infrastructure et les applications cloud. Orca Security aide les équipes DevOps à comprendre l’impact potentiel des problèmes de sécurité sur les environnements de production d’applications en nuage, et à résoudre ces problèmes plus tôt dans le cycle de vie du développement logiciel (SDLC), tout en fournissant aux équipes de sécurité une remédiation automatisée pour empêcher les problèmes de sécurité de progresser dans le SDLC.
La nouvelle interface de ligne de commande (CLI) d’Orca (Orca CLI) permet aux développeurs et aux DevOps d’analyser rapidement les images hébergées localement et les modèles IaC, de visualiser les résultats directement dans les outils de développement et de faire remonter les conclusions au sein de la plateforme Orca. Orca CLI prend en charge tout outil CI standard, tel que GitHub Actions, Jenkins, CircleCI, Bamboo ou Bitbucket. Les flux de travail des développeurs et des DevOps peuvent désormais intégrer l’analyse des vulnérabilités, des secrets, des logiciels malveillants et des problèmes de conformité.
Unifier la sécurité du cloud sur l’ensemble du cycle de vie des applications
Les responsables sécurité sont chargés de tous les aspects de la gouvernance, notamment de veiller à ce que les applications soient entièrement testées et sécurisées pour le mise en production. Orca Security fournit des fonctionnalités « Shift Left » en toute sécurité tout au long des phases de construction, de déploiement et d’exécution du cycle de vie du développement logiciel afin d’aider les entreprises à détecter les risques critiques et à respecter les obligations de conformité :
• Construction : Les images de conteneurs et les modèles Infrastructure as a Code (IaC) sont scannés à la recherche de vulnérabilités ou de mauvaises configurations, tant sur le terminal du développeur que dans le cadre de flux de travail réguliers, d’intégration continue et de livraison continue (CI/CD). Ce processus contextuel tient compte à la fois de l’environnement d’exécution actuel et du code déployé pour offrir une amélioration spectaculaire de la précision.
• Déploiement : Les registres sont surveillés en permanence pour garantir que les artefacts d’application sont sécurisés avant le déploiement, avec des politiques de garde-fou en place pour empêcher les déploiements non sécurisés. La surveillance continue permet également d’identifier les secrets, par exemple lorsque des clés privées sont trouvées dans le cadre d’une analyse de l’IC, ce qui pourrait permettre un mouvement latéral au sein d’un domaine de cloud.
• Exécution : Les environnements de production sont également surveillés pour les risques avec des alertes contextuelles et hiérarchisées, les risques sont remédiés automatiquement et les données s’intègrent à des outils modernes de tickets et de notification.