A medida que los procesos de desarrollo se vuelven más complejos, los atacantes siguen aprovechando los ecosistemas de código abierto y la automatización de CI/CD para inyectar código malicioso en los puntos donde resulta más difícil de detectar. Los equipos necesitan una forma de verificar cada componente de software antes de que avance en el ciclo de vida del desarrollo de software (SDLC), sin ralentizar el trabajo de los desarrolladores.
Para ayudar a las organizaciones a reforzar las defensas de su canal de desarrollo, OPSWAT elSupply Chain MetaDefender Software Supply Chain para TeamCity. Esta integración incorpora la detección automatizada de amenazas, el análisis de datos confidenciales y la visibilidad de los riesgos de las dependencias directamente en el proceso de compilación de TeamCity, lo que garantiza que cada compilación se analice y se verifique para garantizar su seguridad.
Supply Chain relacionados con terceros y Supply Chain se están intensificando
Los procesos de desarrollo modernos dependen en gran medida de paquetes de terceros, ecosistemas de código abierto, API y microservicios distribuidos. Este cambio ha propiciado una enorme aceleración e innovación, pero también ha ampliado la superficie de ataque de formas que las herramientas de seguridad tradicionales nunca fueron diseñadas para gestionar.
Las aplicaciones se componen de miles de componentes externos, imágenes de contenedores, servicios en la nube y bibliotecas de código abierto. De hecho, la mayoría de las organizaciones utilizan actualmente dependencias de código abierto en más del 90 % de sus aplicaciones. Sin embargo, esta dependencia conlleva un riesgo real:
- Los paquetes de terceros no verificados pueden contener malware.
- El software de código abierto obsoleto o vulnerable puede crear brechas que se aprovechen de forma silenciosa.
- Las complejas cadenas de dependencias hacen que resulte difícil saber qué es lo que realmente se está ejecutando en producción.
- La automatización de CI/CD acelera el desarrollo, pero también puede acelerar la propagación de vulnerabilidades si no se controla adecuadamente.
Cómo funciona
Integra el complemento en TeamCity en cuestión de minutos:
Fácil de manejar y mantener
TeamCity sustituye automáticamente las versiones anteriores. Puedes revertir la instalación o eliminar el complemento desde la interfaz de administración en cualquier momento.
Tanto si gestionas unos pocos microservicios como cientos de repositorios, el complemento MetaDefender Supply Chain Software ofrece una base escalable para proteger tu cadena de suministro de software.
Ventajas
Detección y prevención de malware
Analiza tus compilaciones en busca de artefactos maliciosos en las primeras fases del ciclo de vida del desarrollo de software (SDLC) y detecta paquetes comprometidos procedentes de fuentes como npm, PyPI o Maven antes de que lleguen al entorno de producción.
Prevención de fugas de información confidencial
DetectaAPI , contraseñas, tokens y otros datos confidenciales hardcoded antes de que se incorporen accidentalmente a las fases posteriores del proceso.
Análisis de riesgos relacionados con las dependencias y el código abierto
Destaca las dependencias obsoletas, no verificadas o que suponen un riesgo, incluidas las transitivas, que suelen pasarse por alto fácilmente.
Software y transparencia del software
Genera informes SBOM en formatos estandarizados (CycloneDX, SPDX) para cada compilación, lo que permite a tu equipo conocer todos los componentes.
¿Tienes dudas sobre la configuración o las mejores prácticas? Obtén asesoramiento personalizado para tu entorno de CI/CD.
