Infrastructure as Code: Snyk sucht nach Fehlkonfigurationen

Das auf Security in der Softwareentwicklung ausgerichtete Unternehmen Snyk erweitertet die Schwachstellensuche auf IaC-Konfigurationen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
SInfrastructure as Code: Snyk sucht nach Fehlkonfigurationen

(Bild: Shutterstock)

Von
  • Rainald Menge-Sonnentag

Snyk hat seine Security-Plattform um Funktionen erweitert, die auf Infrastructure-as-Code-Konfigurationen (IaC) ausgelegt sind. Mit dem neuen Angebot können Entwickler ihre Terraform-Module und Konfigurationen für Kubernetes auf Schwachstellen durch Fehlkonfigurationen untersuchen.

Die Ursprünge der Snyk-Plattform liegen in der Security-Analyse von Open-Source-Software. Die Betreiber verwalten eine Vulnerability-Datenbank, und Entwickler können die in ihren Projekten verwendete Open-Source-Pakete auf Schwachstellen überprüfen. Daneben bietet das Unternehmen mit Snyk Container eine Plattform zum Analysieren von Container-Images und Kubernetes-Anwendungen.

Bei Infrastructure as Code erfolgt die Konfiguration von Rechenzentren oder Cloud-Installationen über maschinenlesbaren Code wie YAML, JSON oder auch in Programmiersprachen wie Python, TypeScript, Go oder C#. Laut dem Verizon Business 2020 Data Breach Investigation Report waren Fehlkonfigurationen im vergangenen Jahr die zweithäufigste Ursache für Datenlecks in der Finanz- und Versicherungsindustrie.

Das Kommandozeilen-Werkzeug hebt die gefundenen Schwachstellen farblich nach Risikostufe hervor.

(Bild: Snyk)

Eben hier setzt Snyk Infrastructure as Code an. Es untersucht die Konfigurationen in Terrafrorm-Modulen sowie Kuberentes-Konfigurationen in YAML oder JSON beziehungsweise Helm Charts. Entwickler legen im Vorfeld fest, wie hoch das jeweilige Risiko für spezifische Einstellungen wie das Ausführen eines Containers im privileged-Modus oder fehlende Speicher- und CPU-Obergrenzen zu bewerten ist.

Die IaC-Funktionen sind sowohl in der grafischen Nutzeroberfläche der Snyk-Plattform als auch auch im Kommandozeilenwerkzeug von Snyk verfügbar. Derzeit spürt das Werkzeug die Schwachstellen lediglich auf, aber mittelfristig ist eine Funktion zum automatischen Korrigieren geplant.

heise devSec
SInfrastructure as Code: Snyk sucht nach Fehlkonfigurationen

Die Konferenz zur sicheren Softwareentwicklung heise devSec findet dieses Jahr als Online-Veranstaltung statt. Am 21. und 22. Oktober bietet sie insgesamt 24 Vorträge und zwei Keynotes in zwei parallelen Videostreams.

Tickets sind noch bis zum 23. September zu Frühbucherpreisen verfügbar

Weitere Details lassen sich dem Snyk-Blog entnehmen. Snyk Infrastructure as Code lässt sich zusammen mit allen Angeboten des Unternehmens verwenden inklusive des kostenlosen Snyk Free, das unter anderem monatlich nur eine begrenzte Anzahl von ermöglicht.

(rme)