מנוע הסריקה לתשתיות-כקוד בקוד פתוח הוא הפתרון המקיף ביותר בתעשייה, המאפשר למפתחים לאתר ולתקן בעיות בקונפיגורציה
צ’קמרקס (Checkmarx), המובילה הגלובלית בפתרונות אבטחת תוכנה ל-DevOps, הכריזה על השקתKICS , הגנה על תשתיות כקוד (ראשי תיבות של Keeping Infrastructure as Code Secure). KICS הוא פתרון קוד פתוח לניתוח סטטי, המאפשר למפתחים לכתוב תשתיות כקוד (IaC) בצורה בטוחה יותר. KICS מרחיב את קו המוצרים של צ’קמרקס לבדיקות אבטחה באפליקציות – AST (Application Security Testing), ומספק פלטפורמה אחת לאבטחת קוד קנייני, רכיבי קוד פתוח ותשתית קריטית עבור יישומים מסורתיים, כמו גם יישומי נייטיב לענן (Cloud native applications).
האימוץ של IaC גדל באופן משמעותי בשנים האחרונות, ככל שיותר ארגונים עוברים לענן ומחפשים דרכים לנפק את התשתית באופן מהיר וסקלבילי יותר. ואולם, היתרונות של IaC טומנים בחובם סיכונים רבים בתחום האבטחה, עמידה בתקינה (compliance), וקונפיגורציה, המחייבים את המפתחים למצוא עבורם פתרונות. זאת המסקנה המתבקשת כאשר מביאים בחשבון שבעיות הנובעות משגיאות פיתוח (לדוגמה, טעויות קונפיגורציה וטעויות בדילוור, delivery) מהוות כיום את הגורם השני בחומרתו לפריצות לנתונים.
KICS מזהה אוטומטית חולשות, תוים וסיסמאות המעוגנים בתוכנה, בעיות compliance (עמידה בתקינה) וקונפיגורציות שגויות מתחילת התהליך של פיתוח ה-IaC. בכך, הוא מאפשר למפתחים לתקן את הפגמים בקלות לפני שלב הייצור. כמנוע המקיף ביותר לסריקת IaC, KICS תומך בטכנולוגיות ה-IaC המובילות, לרבות Terraform, Kubernetes, Docker, AWS CloudFormation ו-Ansible. בנוסף, KICS מציע יותר מ-1,200 שאילתות הניתנות לעריכה ולהתאמה באופן מלא. שאילתות אלו מכסות יותר מ-12 קטגוריות, החל מהצפנה וניהול מפתחות וכלה באבטחת יציאות רשת.
“ככל שתהליכי הפיתוח מתקדמים וארגונים מאיצים את השימוש בענן, המפתחים לוקחים על עצמם אחריות גדולה יותר לאבטחה במקביל לאספקת התוכנה מהר מאי פעם. קשה מאוד להשיג את האיזון בין אבטחה למהירות כאשר מסתמכים על בדיקות קוד ידניות הגוזלות זמן רב,” אמר מתי סימן, CTO ומייסד צ’קמרקס. “KICS נבנה מתוך מחשבה על האיזון הזה, ובשאיפה לאפשר לצוותי הפיתוח לזהות בעיות IaC באופן אוטומטי, כאשר התיקון ניתן לביצוע באופן המהיר, הזול והקל ביותר. עם התוספת החדשה ביותר לקו המוצרים של צ’קמרקס, למפתחים יש כתובת אחת לאבטחת כל החלקים שמכילים היישומים המורכבים של ימינו.”
מאפיינים עיקריים נוספים של KICS כוללים:
- יכולת הרחבה מובנית: KICS מספק את “ספריית” השאילתות הגדולה ביותר מבין כל פתרונות הסריקה ל-IaC, וכולן ניתנות לעריכה ולהתאמה באופן מלא. בנוסף, הארכיטקטורה הרובוסטית, אך פשוטה של KICS מאפשרת הוספה מהירה של תמיכה בכלי IaC חדשים.
- מיקור קהילתי: כפרויקט קוד פתוח, גם מנוע הסריקה וגם השאילתות של KICS פתוחים לקהילה של אלפי מומחי אבטחה ו-DevOps ולמפתחי תוכנה. בשילוב עם הצוות המסור של צ’קמרס שממשיך להוסיף פיצ’רים חדשים ולבדוק את התרומות לקוד, KICS מסוגל להתרחב בקצב מהיר.
- אינטגרציה חלקה ב-CI-CD: KICS ניתן לאינטגרציה קלה בכל תהליכי ה- CI/CD, לרבות GitHub Actions ו-GitLab CI וליישם בדיקות חולשות ושגיאות קונפיגורציה על ה-IaC בשעה שהמפתחים ממשיכים עם הכלים המועדפים עליהם.
סימן הוסיף, “צ’קמרקס היא תומכת גדולה של פרויקטי קוד פתוח. זו גם הסיבה שיצרנו את KICS באופן זה, המאפשר לקהילה להחליט על כיוון ולטפח חדשנות בתעשייה. אנחנו מצפים בהתרגשות לראות כיצד חברי הקהילה המסורה הזו מאמצים את KICS ותורמים לו כדי שיהפוך לתוספת חיונית בערכת הכלים של כל מפתח העוסק ביישומי נייטיב לענן.”
“אני מקדם בברכה את צ’קמרקס לאקוסיסטם של הקוד הפתוח עם השחרור של KICS, כיוון שצ’קמרקס מביאה לקהילה את הניסיון העצום שלה בבדיקות בטיחות של אפליקציות (AST),” אמר ליאור קפלן, יועץ קוד פתוח . “כבר עכשיו, KICS זוכה לעניין רב ממומחי DevOps ואבטחה שלוקחים חלק בקוד פתוח, וזה ילך ויגדל ככל שהפרויקט יתרחב לפלטפורמות נוספות של תשתית כקוד.”
KICS זמין בחינם מהיום. למידע נוסף, היכנסו ל-kics.io.
תמונת כותרת: מתי סימן, CTO ומייסד צ’קמרקס צילום: ינאי רובחה
