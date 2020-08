Snyk hat seine Security-Plattform um Funktionen erweitert, die auf Infrastructure-as-Code-Konfigurationen (IaC) ausgelegt sind. Mit dem neuen Angebot können Entwickler ihre Terraform-Module und Konfigurationen für Kubernetes auf Schwachstellen durch Fehlkonfigurationen untersuchen.

Die Ursprünge der Snyk-Plattform liegen in der Security-Analyse von Open-Source-Software. Die Betreiber verwalten eine Vulnerability-Datenbank, und Entwickler können die in ihren Projekten verwendete Open-Source-Pakete auf Schwachstellen überprüfen. Daneben bietet das Unternehmen mit Snyk Container eine Plattform zum Analysieren von Container-Images und Kubernetes-Anwendungen.

Schlechte Konfiguration als Schwachstelle

Bei Infrastructure as Code erfolgt die Konfiguration von Rechenzentren oder Cloud-Installationen über maschinenlesbaren Code wie YAML, JSON oder auch in Programmiersprachen wie Python, TypeScript, Go oder C#. Laut dem Verizon Business 2020 Data Breach Investigation Report waren Fehlkonfigurationen im vergangenen Jahr die zweithäufigste Ursache für Datenlecks in der Finanz- und Versicherungsindustrie.

Das Kommandozeilen-Werkzeug hebt die gefundenen Schwachstellen farblich nach Risikostufe hervor. (Bild: Snyk)

Eben hier setzt Snyk Infrastructure as Code an. Es untersucht die Konfigurationen in Terrafrorm-Modulen sowie Kuberentes-Konfigurationen in YAML oder JSON beziehungsweise Helm Charts. Entwickler legen im Vorfeld fest, wie hoch das jeweilige Risiko für spezifische Einstellungen wie das Ausführen eines Containers im privileged -Modus oder fehlende Speicher- und CPU-Obergrenzen zu bewerten ist.

Die IaC-Funktionen sind sowohl in der grafischen Nutzeroberfläche der Snyk-Plattform als auch auch im Kommandozeilenwerkzeug von Snyk verfügbar. Derzeit spürt das Werkzeug die Schwachstellen lediglich auf, aber mittelfristig ist eine Funktion zum automatischen Korrigieren geplant.

Weitere Details lassen sich dem Snyk-Blog entnehmen. Snyk Infrastructure as Code lässt sich zusammen mit allen Angeboten des Unternehmens verwenden inklusive des kostenlosen Snyk Free, das unter anderem monatlich nur eine begrenzte Anzahl von ermöglicht.

(rme)