Erfüllung des Zero-CVE-Mandats: Wie Chainguard Unternehmen hilft, sichere Software zu liefern, der Kunden vertrauen

Moderne Unternehmen stehen vor einer neuen Realität: Ihre Kunden möchten nicht nur, dass Ihr digitales Produkt reich an Funktionen ist. Sie erwarten, dass es nachweislich sicher, vollständig transparent und bereit ist, eigene Sicherheitsüberprüfungen durchzuführen, bevor es überhaupt in Produktion geht. Diese Anforderungen sind besonders akut für Bereitstellungen innerhalb der Grenzen eines Kunden (selbst gehostete oder öffentliche Cloud), verpackte Agenten und Software, die in regulierte Kundenumgebungen eingebettet ist.

Die Aufrechterhaltung eines hohen Maßes an Sicherheit in diesen Umgebungen und Anwendungsfällen stellt sowohl eine Zuckerbrot als auch eine Peitsche für Engineering-, Compliance- und GTM-Teams dar. Der Versand von standardmäßig sicherer, transparenter Software kann als entscheidendes Unterscheidungsmerkmal und Vertrauensfaktor bei großen Unternehmenskunden dienen, die Beschaffungsprozesse beschleunigen und interne Risikobedenken ausräumen. Für Start-ups und mittelständische Unternehmen macht ein starker Ansatz zur Sicherheit der Software-Lieferkette deutlich, dass ein Angebot für Unternehmen geeignet ist. Wenn Sie umgekehrt nicht nachweisen können, was sich in Ihrer Software befindet, und nicht nachweisen können, dass sie frei von bekannten Schwachstellen ist, riskieren Sie, Geschäfte zu verlieren, die Beschaffung zu verzögern oder Verlängerungen zu gefährden.

Die neue Baseline: Zero-CVE, transparente Software

In der Vergangenheit reichten eine einfache Richtlinie zur Offenlegung von Schwachstellen und ein Patch-Fenster aus, um die meisten Kundensicherheitsteams zufrieden zu stellen. Das ist nicht mehr der Fall.

Heute stellen mehr Sicherheits- und Compliance-Teams Anforderungen wie:

• Null bekannte CVEs zum Zeitpunkt der Lieferung

• Überprüfbare SBOMs (Software Bill of Materials)

• Provenienzbescheinigungen, die belegen, wie und wann Software erstellt wurde

• Kompatibilität mit internen Sicherheitswerkzeugen

Diese Verschiebung ist nicht hypothetisch. Laut Sonatype benötigen 60 % der Unternehmen ein SBOM als Teil ihres Beschaffungsprozesses, während Gartner feststellte, dass Softwaresicherheit der wichtigste Faktor für Unternehmen bei der Auswahl eines Produkts war, nach dem Preis.

Diese Erwartung starker Sicherheitspraktiken und klarer Herkunft kann in einer Softwarewelt, die auf Open-Source-Artefakte angewiesen ist, die über 70 % der Codebasis einer bestimmten Anwendung ausmachen, zu einer Herausforderung werden.

Für Unternehmen, die moderne, Cloud-native Anwendungen entwickeln, die stark regulierte Branchen bedienen oder über einen On-Premise-Agenten oder eine verpackte, eingebettete Software verfügen, gibt es eine Reihe von Herausforderungen:

• Open-Source-Abhängigkeiten haben eine trübe Herkunft. Viele Container-Images werden aus von der Community bereitgestellten Basen ohne kryptografische Bescheinigungen erstellt.

• Traditionelle Basisbilder werden mit einem konstanten Strom neuer CVEs geliefert. Selbst wenn Sie versuchen, manuell zu patchen, häufen sich Schwachstellen schneller an, als Sie sie beheben können.

• Sicherheitsscanner haben oft Schwierigkeiten, alles in nicht standardisierten Bildern zu erkennen. Wenn Ihre Bilder nicht von den Tools Ihres Kunden gescannt werden können, kann Ihr Deal ins Stocken geraten.

• Die Sicherheitsanforderungen der Kunden sind unterschiedlich. Der Versuch, mit verschiedenen Kundenanforderungen zu jonglieren, kann eine Herausforderung darstellen und zu Nacharbeiten führen.

Selbst wenn ein Entwicklerteam versucht, manuell Abhilfe zu schaffen, können die Kosten und die Arbeitsbelastung atemberaubend sein. Chainguards eigene Analyse auf der Grundlage von DIY-Schätzungen der Kunden zeigt, dass es bis zu 74.000 $ kosten kann, die anfängliche CVE-Sanierung für ein bestimmtes Bild durchzuführen, wobei die laufende CVE-Wartung bis zu 91.000 $ pro Jahr kostet. Darüber hinaus können Sicherheits- und Plattformteams am Ende reaktive Kundeneskalationen für Schwachstellen in Bildern bearbeiten, was zu Stunden ungeplanter Arbeit führt.

How Chainguard Makes Zero-CVE, Verifably Secure Software Achievable

Chainguard wurde speziell entwickelt, um Unternehmen mit digitalen Produkten dabei zu helfen, standardmäßig sichere Container-Images zu liefern, die selbst die strengsten Kundenanforderungen erfüllen:

Zero-CVE Baseline Containers

Chainguard unterhält den branchenweit umfangreichsten Satz vertrauenswürdiger Container-Images mit null bekannten Schwachstellen bei der Veröffentlichung. Container-Bilder werden täglich neu erstellt, um diese Haltung beizubehalten, damit Sie sicher versenden können, ohne sich auf DIY-Backporting oder Notfall-Patching zu verlassen.

Das hört nicht bei den Basisbildern auf. Es erstreckt sich auch auf Helm-Charts und App-Bilder, so dass sofortige CVE-Reduktionen mit nahezu Drop-in-Ersatzbildern möglich sind. Das Ergebnis einer Null-CVE-Baseline bedeutet, dass ein Plattform- oder AppDev-Team nie mehr versuchen wird, mehrere Sicherheits-Baselines zu jonglieren: Eine vollständige Behebung erfüllt alle Erwartungen.

Verifizierbare Provenienz und SBOMs

Jedes Chainguard-Containerbild enthält unterschriebene Bescheinigungen, die belegen, was wann und von wem gebaut wurde. Detaillierte SBOMs werden zusammen mit jedem Release veröffentlicht, so dass es einfach ist, Kundenaudits zu bestehen und die Beschaffungsanforderungen sofort zu erfüllen.

Breite Kompatibilität

Chainguard-Containerbilder werden mit den gängigsten Scannern von Drittanbietern getestet, darunter Aqua, Crowdstrike, Grype, Orca, Prisma, Trivy, Wiz und andere, damit Ihre Kunden sie reibungslos mit ihren bevorzugten Tools validieren können.

Chainguard-Container-Images funktionieren in allen Kundenumgebungen, unabhängig davon, ob es sich um große Cloud-Service-Provider oder lokale Maschinen handelt, damit Unternehmen Chainguard-Container-Images für jede Phase ihres SDLC-Prozesses übernehmen und bereitstellen können.

Kundenspezifische Montage für maßgeschneiderte Bilder

Benötigen Sie eine spezialisierte Basis? Die benutzerdefinierte Montage ist eine in Chainguard-Containern enthaltene Funktion, mit der Benutzer benutzerdefinierte Containerbilder mit zusätzlichen Paketen erstellen können. Auf diese Weise können Kunden ihre Risikoexposition reduzieren, indem sie Container-Images erstellen, die auf ihre internen Organisations- und Anwendungsanforderungen zugeschnitten sind und gleichzeitig die gleichen Null-CVE-Garantien, Provenienz und Scanbarkeit beibehalten.

Der Chainguard-Kunde GitGuardian befasste sich mit dem Kundendruck rund um die Bereitstellung von Zero-CVE-Bildern und wandte sich an Chainguard, um das Problem zu lösen. Die Vorteile waren sofort klar, da GitGuardian eine drastische Reduzierung der CVEs verzeichnete, die sie um 100 % reduzierte. Sie gingen von zahlreichen kritischen und hohen Schwachstellen zu einem Zustand über, in dem solche Schwachstellen buchstäblich nicht existierten, zusätzlich zu einer Reduzierung der Bildgröße um 33 %.

"Sicherheit liegt in der DNA von GitGuardian", sagte Romain Jouhannet, Senior Product Manager. "Und Chainguard machte wirklich Sinn, als wir anfingen zu überlegen, wie wir unsere Software rationalisieren und sicherstellen können, dass wir unsere Software nicht mit Schwachstellen ausliefern, denn das ist ein wirklich großer Teil unserer Geschichte."

Sicherheit in einen Wettbewerbsvorteil verwandeln

Wenn Sie mit Chainguard-Containern beginnen, markieren Sie nicht nur ein Kästchen. Sie können Beschaffungszyklen beschleunigen, indem Sie die Kundenanforderungen im Voraus erfüllen, den Zeit- und Kostenaufwand für Korrekturen und Audits reduzieren und Ihre Marke mit transparenter, überprüfbarer Sicherheit stärken.

In einem Umfeld, in dem Vertrauen das ultimative Unterscheidungsmerkmal ist, heben Sie sich auf diese Weise ab.

Sind Sie bereit zu sehen, wie Chainguard Ihnen helfen kann, standardmäßig sichere Software bereitzustellen, der Kunden vertrauen? Kontaktieren Sie unser Team, um mehr zu erfahren.