CI/CD- und Registry-Scanning mit Schwachstellen-Reporting zur Laufzeit
Automatisieren Sie das Scanning innerhalb von CI/CD-Pipelines und Registries und implementieren Sie Inline-Registry-Scanning. Schließen Sie Schwachstellen vor der Produktion und prüfen Sie während der Laufzeit auf neue CVEs. Verfolgen Sie eine kritische Schwachstelle zurück bis zu einer Anwendung und einem Entwicklungsteam.
Schwachstellen vor der Produktion und zur Laufzeit identifizieren
Image-Scanning innerhalb
von CI/CD automatisieren
Wenn Sie Image-Scanning (Docker-Sicherheits-Scanning) in das CI/CD- und Registry-Scanning vor der Bereitstellung für die Produktion integrieren, können Sie Schwachstellen innerhalb und außerhalb des OS frühzeitig erkennen.
Vordefinierte Prüfungen auf Best Practices für Dockerfiles
Dank vordefinierter oder benutzerspezifischer Image-Scanning-Richtlinien können Sie Zeit sparen und Schwachstellen, fehlerhafte Konfigurationen und Bad Practices im Bereich Sicherheit schnell erkennen.
Schwachstellen-Monitoring zur Laufzeit implementieren
Überwachen Sie souverän und lückenlos auf neue Schwachstellen zur Laufzeit, ohne Images erneut scannen zu müssen, und benachrichtigen Sie die betroffenen Teams unverzüglich.
Image-Scanning innerhalb der CI/CD-Pipeline automatisieren
Integrieren Sie Image-Scanning – auch als Docker-Sicherheits-Scanning bekannt – direkt in Ihre gewünschte CI/CD-Pipeline, u. a. Jenkins, Bamboo, GitLab, CircleCI, GitHub Actions, Azure Pipelines usw. Ermitteln Sie Schwachstellen, fehlerhafte Konfigurationen, offengelegte Anmeldedaten und Bad Practices im Bereich Sicherheit innerhalb und außerhalb des OS.
Implementieren Sie Registry-Scanning in jeder mit Docker v2 kompatiblen Registry, u. a. Quay, Amazon ECR, DockerHub Private Registries, Google Container Registry, Artifact Registry, JFrog Artifactory, Microsoft ACR, SuSE Portus und VMware Harbor.
Durch den Einsatz des Inline-Scanning von Sysdig behalten Sie die vollständige Kontrolle über Ihre Images. Scannen Sie in Ihrer CI/CD-Pipeline, Registry oder zur Laufzeit. Es werden nur die Scan-Ergebnisse an Sysdig gesendet.
Scannen Sie serverlose Container mit Sysdig Secure. Scannen Sie AWS Fargate-Container automatisch direkt in ECR, indem Sie auf Fargate-Aufgabenstartereignisse überwachen. Scannen Sie serverlose Container auf Google Cloud Run über eine GCR-Integration.
Mit einem Kubernetes-Zugangs-Controller können Sie die Bereitstellung ungescannter oder anfälliger Images auf dem Cluster blockieren.
Vordefinierte Best Practices für Dockerfiles nutzen
Mit vordefinierten Best Practices für Dockerfiles können Sie Schwachstellen schnell erkennen. So können Sie beispielsweise eine kritische CVE in einem OS-Paket identifizieren oder ein anfälliges Image ermitteln, das länger als 30 Tage ausgeführt wird und für das ein Fix verfügbar ist.
Fehlerhafte Konfigurationen, wenn z. B. Port 22 in einer Dockerfile verfügbar gemacht wird, können einen Einstiegspunkt für Angreifer schaffen. Legen Sie benutzerdefinierte Container-Scanning- und Registry-Scanning-Richtlinien fest, um Fehler und Bad Practices im Bereich Sicherheit frühzeitig zu erkennen.
Prüfen Sie Ihre Container-Compliance lückenlos – mit vordefinierten Richtlinien für NIST SP 800-190, PCI DSS. Außerdem können Sie prüfen, ob Entwickler Best Practices im Bereich Sicherheit befolgen, z. B.:
- Image-Größe einschränken
- GPlv2-Lizenzen auf die schwarze Liste setzen
- Sicherstellen, dass Container vertrauenswürdige Basis-Images und nur notwendige Pakete verwenden
Container-Scanning zur Laufzeit implementieren
Werten Sie die Auswirkungen neuer CVEs schnell aus. Integrieren Sie dazu Image-Scanning (Docker-Sicherheits-Scanning) zur Laufzeit. Überwachen Sie lückenlos auf diese Schwachstellen, ohne Images erneut scannen zu müssen, verfolgen Sie sie zurück zu spezifischen Anwendungen und bestimmen Sie das Team, das sie beheben soll.
Suchen Sie auf Basis der ID, dem Schweregrad, Fix und Alter der CVE nach Schwachstellen in der Produktion und grenzen Sie sie anschließend auf ein bestimmtes Kubernetes-Cluster, einen Namespace, eine Bereitstellung oder einen Pod ein.
Benachrichtigen Sie automatisch das richtige Team, wenn eine neue CVE in Ihrer Umgebung entdeckt wird. Erreichen Sie Ihre Entwickler schnell über mehrere Kanäle (z. B. Slack, PagerDuty, SNS usw.).
“Wir möchten sicherstellen, dass Images keine Schwachstellen enthalten und Best Practices entsprechen, bevor es weiter in die Produktion geht.”
GLOBALES REISEUNTERNEHMEN, KUNDE VON SYSDIG
Weitere Informationen
Aktivieren Sie Ihre 30-tägige Testversion in Minutenschnelle!
Umfassender Zugriff auf alle Features und Funktionen. Keine Kreditkarte erforderlich.