Palo Alto will Software-Supply-Chain besser absichern

Palo Alto Networks will für 195 Millionen Dollar in bar das israelische Start-up Cider Security übernehmen. Das aus Tel Aviv stammende Unternehmen entwickelt Tools für die Absicherung von Software-Supply-Chains und CI/CD-Pipelines (CI/CD = Continuous-Integration/Continuous-Delivery). Die Verantwortlichen von Palo Alto rechnen damit, die Akquisition bis zum zweiten Quartal des Geschäftsjahres 2023 abschließen zu können.

Viele Unternehmen setzten im Zuge ihrer Cloud-Migration verstärkt auf CI/CD, schreibt Lee Klarich, Chief Product Officer bei Palo Alto, in einem Blog-Beitrag. Kontinuierliche Entwicklungs- und Auslieferungszyklen hätten die Implementierung neuer Funktionen und damit die Agilität ganzer Organisationen deutlich beschleunigt.

Die neu gewonnene Dynamik in der Softwareentwicklung hat Klarich zufolge allerdings auch eine Schattenseite. In der Software-Lieferkette hätten sich in den vergangenen Jahren etliche Sicherheitslücken aufgetan. Der Manager verweist auf Solarwinds und Log4j. Immer mehr Hacker würden diese Angriffsvektoren für ihre Attacken auf Unternehmen in aller Welt ausnutzen.

"Es steht viel auf dem Spiel, wenn es um die Sicherheit der Software-Lieferkette geht"

Hier will Palo Alto mit der Übernahme von Cider den Hebel ansetzen. Mit der Eigenentwicklung Software Composition Analysis (SCA) habe man bereits vor einigen Monaten ein Werkzeug vorgestellt, mit dessen Hilfe Anwenderunternehmen die in ihrer Softwareentwicklung verwendeten Open-Source-Komponenten auf ihre Sicherheit hin abklopfen könnten. Um hier noch einen Schritt weiterzugehen und möglichst alle Anwendungen und Tools von Drittanbietern abzusichern, die in der CI/CD-Pipeline verwendet werden, soll nun Cider mit ins Spiel kommen.

"Wenn es um die Sicherheit der Software-Lieferkette geht, steht viel auf dem Spiel", warnt Klarich. Ein falscher Schritt oder ein schlecht konfiguriertes Tool könnten das gesamte Unternehmen gefährden. Cloud-native Anwendungen würden in CI/CD-Pipelines erstellt, die aus vielen Repositories, Registries, Frameworks, Sprachen, Drittanbieterkomponenten und Abhängigkeiten bestünden. Diese Pipelines könnten dem Palo-Alto-Manager zufolge Hunderte Tools von Drittanbietern umfassen, und all diese Werkzeuge hätten Zugriff auf den Quellcode.

Hunderte von Tools - Security-Teams verlieren die Übersicht

Den meisten Unternehmen fehle derzeit der Einblick in den Bestand, die Zuordnungen und die Verbindungen aller Tools und Anwendungen innerhalb ihrer Software-Lieferkette. Für Sicherheitsteams sei es daher schwierig, sich einen Überblick darüber zu verschaffen, welche Tools und Anwendungen vorwendet würden, wie sie konfiguriert und ob sie gesichert seien oder nicht.

Mithilfe der Tools von Cider sei es Klarich zufolge möglich, jedes Tool in der Softwarelieferkette zu analysieren und herauszufinden, wie diese mit Anwendungen und untereinander verbunden seien. Das helfe, Risiken zu identifizieren und Prioritäten für deren Beseitigung festzulegen. "Wir haben eine AppSec-Plattform entwickelt, die es den Entwicklern ermöglicht, weiterhin schnell zu arbeiten, ohne Kompromisse bei der Sicherheit einzugehen", sagt Guy Flechter, Geschäftsführer von Cider Security.

Palo Alto will die Werkzeuge von Cider in seine Prisma-Cloud-Plattform integrieren. Mit dieser Security-Umgebung sollen Anwender den gesamten Lebenszyklus von Anwendungen vom Code bis zur Cloud absichern können. Gleichzeitig lasse sich auf Basis von Prisma die Zusammenarbeit zwischen Sicherheitsteams, DevOps und Anwendungsentwicklern verbessern, verspricht der Anbieter.

Tipp: Sie möchten regelmäßig Infos zu den wichtigesten Themen rund um IT-Sicherheit erhalten? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.