2022年3月14日，北京——為了應(yīng)對迅速增加的軟件供應(yīng)鏈攻擊，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè) Palo Alto Networks（納斯達(dá)克代碼：PANW）（派拓網(wǎng)絡(luò)）近日推出Prisma? Cloud 供應(yīng)鏈安全功能（Supply Chain Security），為企業(yè)提供軟件供應(yīng)鏈潛在漏洞或錯誤配置的完整視圖，助其快速追蹤問題源頭并修復(fù)漏洞。如果未迅速修復(fù)，或未在編碼過程中及時避免，攻擊者就可能會通過這些漏洞滲透到系統(tǒng)中，在整個企業(yè)的軟件中傳播惡意負(fù)載并訪問敏感數(shù)據(jù)。

根據(jù)Gartner預(yù)測，“到2025年，全球45%的企業(yè)將遭遇軟件供應(yīng)鏈攻擊，比2021年增長三倍?！?Unit 42的云威脅報告還指出，訪問硬編碼憑證導(dǎo)致了橫向移動和持續(xù)集成/持續(xù)交付 (CI/CD) 流水線“中毒”。

目前的許多解決方案只提供代碼或云端資源層的漏洞和錯誤配置信息。而作為領(lǐng)先的云原生安全解決方案和最完整的云原生應(yīng)用保護(hù)平臺（CNAPP），Prisma Cloud憑借供應(yīng)鏈安全功能不僅提供全生命周期可見性和保護(hù)，還能提供云架構(gòu)各層中的漏洞位置。

Palo Alto Networks（派拓網(wǎng)絡(luò)）Prisma Cloud產(chǎn)品高級副總裁Ankur Shah表示：“開源軟件和其他軟件組件每天都會出現(xiàn)新漏洞，而由于這些組件已經(jīng)被集成到企業(yè)的軟件代碼中，如果沒有合適的工具，企業(yè)很難迅速發(fā)現(xiàn)他們在哪里使用了這些組件的未修補(bǔ)版本。開發(fā)Prisma Cloud是為了給企業(yè)提供從代碼到云端的全面保護(hù)，幫助客戶實現(xiàn)軟件供應(yīng)鏈可視化，在開發(fā)伊始和交付過程中更容易、及時地鎖定并修復(fù)安全漏洞?！?/p>

Prisma Cloud供應(yīng)鏈安全功能提供了一個全棧、全生命周期的方法來保護(hù)構(gòu)成和交付云原生應(yīng)用的互連組件。它可以幫助識別代碼中的漏洞和錯誤配置，包括開源包、基礎(chǔ)架構(gòu)即代碼（IaC）文件和交付流水線，例如版本控制系統(tǒng)（VCS）、CI流水線配置等。其包含以下功能：

●     自動檢測：使用現(xiàn)有的云代碼安全掃描器對代碼資產(chǎn)進(jìn)行提取和建模。

●     圖形可視化：通過簡單、完整的關(guān)鍵應(yīng)用和基礎(chǔ)架構(gòu)資產(chǎn)依賴項清單，了解整個攻擊面的弱點。

●     供應(yīng)鏈代碼修復(fù)：使用單個合并的拉取請求修復(fù)易受攻擊的依賴項或配置錯誤的IaC資源。

●     代碼庫掃描：識別并修復(fù)應(yīng)用程序代碼中的開源包漏洞。

●     分支保護(hù)規(guī)則：通過Checkov擴(kuò)展策略即代碼以強(qiáng)化VCS和CI/CD配置，阻止代碼篡改攻擊。

憑借這些功能，企業(yè)可以更好地評估其交付流水線以及所有互連應(yīng)用和基礎(chǔ)架構(gòu)資源的受攻擊面，從而更加有效地防止供應(yīng)鏈攻擊。在零信任架構(gòu)中采用Prisma Cloud供應(yīng)鏈安全功能是企業(yè)規(guī)避軟件供應(yīng)鏈攻擊的最佳方式之一。

ESG應(yīng)用和云安全高級分析師Melinda  Marks表示：“一個創(chuàng)造大量開源軟件的繁榮社區(qū)能夠幫助開發(fā)者加快他們的編碼和產(chǎn)品交付，但如果無法確保代碼安全，就會擴(kuò)大受攻擊面。Prisma Cloud的優(yōu)勢能夠幫助開發(fā)運(yùn)維和安全團(tuán)隊充分了解他們的軟件供應(yīng)鏈，使他們能夠識別和修復(fù)編碼漏洞，確保云原生應(yīng)用的安全?！?br/>

上市日期

現(xiàn)已可以在Prisma Cloud和Bridgecrew by Prisma Cloud中使用全新供應(yīng)鏈安全可視化功能。