"סניק מאפשרת לתקן חולשות אבטחה וקונפיגורציות לא מאובטחות בקונטיינרים"
כך אמר ענר מזור, מנהל מוצר ראשי בחברה
ענר מזור, מנהל מוצר ראשי (CPO) בסניק (Snyk), המסייעת לארגונים להשתמש בקוד פתוח בצורה בטוחה על ידי זיהוי חולשות אבטחה, אמר לאנשים ומחשבים כי החברה מאפשרת אינטגרציה עם OpenShift כדי למצוא את כל החולשות בקונטיינרים. לקראת הכנס השנתי Red Hat Israel Forum, שיתקיים ביום ב' הקרוב במרכז הכנסים אווניו שבקריית שדה התעופה, שוחחנו עם מזור על סניק ועל פעילותה כשותפה של רד-האט למען הלקוחות.
סניק, שהוקמה ב-2015, גייסה עד כה יותר מ-100 מיליון דולר. החברה צמחה במהירות רבה ומעסיקה כיום יותר מ-200 עובדים בתל אביב, לונדון ובוסטון, כשהיא עוזרת למפתחים ולארגונים להשתמש בקוד פתוח ובקונטיינרים בצורה בטוחה ומאובטחת.
מה מעסיק את לקוחותיכם?
"הקוד הפתוח נמצא בשימוש נרחב ועולה, ומשמש כבסיס לפיתוח אפליקציות מודרניות. הלקוחות שלנו עוברים לשימוש בקונטיינרים כדרך לאריזה והרצת אפליקציות – דבר המאפשר פיתוח מהיר ויעיל יותר.
הסיכון הוא בכך שבקוד פתוח, השימוש בחבילות – נפוץ, ולרוב החולשות בו ידועות. לכן, קל יחסית ומשתלם לנצל אותן. בין הדוגמאות יש את זו של חברת דירוג האשראי אקוויפקס, כשבעקבות מחדל אבטחה דלפו לרשת פרטיהם האישיים של 143 מיליון אמריקנים.
אחד השינויים המרכזיים בתצורת הפיתוח בשנים האחרונות הינו אימוץ ה-DevOps, שמאפשר למפתחים לפתח מהר יותר, לשחרר מהר יותר קוד לייצור, ולהגדיר בעצמם את המכונות והסביבות שהם צריכים. זהו שינוי מבורך, אליו מתלווה אתגר אבטחה. אם פעם היה קל יותר לזהות נקודה בה משתלבת אבטחה בתהליך הפיתוח, כיום, בגלל האופי האג'ילי של הפיתוח, הדרך היחידה לאפשר אבטחה בלי האטת הפיתוח היא להטמיע אותה בתוך תהליכי הפיתוח הקיימים.
בנוסף, היחס הנמוך בין מספר אנשי האבטחה למספר המפתחים מקשה על צוותי האבטחה להגן בעצמם על הקוד. על כן, חייבים לתת למפתחים את הכלים להגן בעצמם על הקוד, בעוד שצוותי האבטחה עוקבים ומוודאים את התהליך".
באמצעות אילו פתרונות רד-האט אתם מרחיבים עבור הלקוחות אפשרויות טכנולוגיות ועסקיות?
"סניק פיתחה מוצר שמיועד קודם כל למפתחים, שמשלב אבטחה לאורך תהליך הפיתוח – החל מכתיבת הקוד ב-IDE, דרך כלי ניהול הקוד דוגמת גיטהאב וגיטלאב, לתוך תהליך הבנייה וכל הדרך עד לייצור.
אחד הכלים המרכזיים של רד-האט הוא OpenShift – פתרון לניהול והרצה של קונטיינרים. סניק מאפשרת למשתמשים ב-OpenShift לסרוק את כל הקונטיינרים שלהם בכניסה לסביבה, וכן להמשיך לעקוב אחר חולשות חדשות תוך כדי ההרצה. בנוסף, סניק מאתרת חולשות בקונפיגורציות של הסביבה.
מכיוון שלא די רק לאתר את החולשות, סניק נותנת למפתחים פתרונות עם התיקונים והעדכונים שצריכים להתבצע בקונטיינרים ובקונפיגורציות כדי לתקן את החולשות.
מוצר הקונטיינרים של סניק הושק באמצע השנה שעברה ואומץ במהרה בשוק. הסיבה לכך היא שיש פער בין היכולת לסרוק ולהבין אילו חולשות אולי קיימות בייצור, לדוגמה ב-OpenShift, לבין כך שהתיקון יכול להתבצע רק על ידי מפתחים שצריכים, בסופו של דבר, לתקן את הקונטיינר. הדבר יצר פער, והיה צורך ממשי בכלי שיאפשר למפתחים להבין בקלות את החולשות הקיימות, ולצד זה ייתן פתרונות קלים ואוטומטיים לתיקון החולשות במהירות.
המצב בו מפתחים אחראים לא רק לפתח את האפליקציה אלא גם להגדיר את המכונה שלהם באמצעות הקונטיינר הוא שינוי שיש לתמוך בו עם כלים מתאימים. אנחנו עובדים בשיתוף פעולה הדוק מאוד עם רד-האט, ומקיימים סדנאות משותפות ופעילויות נוספות כדי לעזור למשתמשים ב-OpenShift להשתמש בקונטיינרים בצורה בטוחה יותר".
להרשמה לאירוע לחצו כאן.
