Paladin Cloud推出全新开源平台

关键要点

Paladin Cloud于周一宣布他们的开源“安全即代码”平台现已上线，并成功筹集了330万美元的种子资金。该平台旨在协助开发运维(DevOps)团队在测试及生产环境中保护应用程序和数据。通过提供企业多云操作的安全态势可见性，Paladin的目标是自动化检测和修复安全政策违规行为，包括未授权访问、错误配置以及不安全的API等问题。

Casey Bisson，BluBracket的产品与开发启用负责人，表示：“很高兴看到这一领域的新思维，尤其是以DevOps友好的开源解决方案为基础。”Bisson指出，开源解决方案解决了两个问题：通过能够检查代码，团队更容易建立信任；同时，由于是DevOps团队在自己基础设施上执行，而非依赖SaaS服务，这也使得管理密钥和权限的授权更加简便。

Bisson提到，BluBracket团队确实发现开源中存在漏洞，但转向开源使得安全性得到了极大的提升。他解释道：“所有软件都有一些错误和安全漏洞，但最近对开源的关注帮助我们更快、更有效地识别和修复这些风险，而闭源解决方案通常难以做到这一点。”

例如，Bisson提到的Checkov是BridgeCrew开发的一款开源基础设施即代码(IaC)政策执行引擎，长期以来一直是许多团队云安全工作的基础。Bisson补充道：“它能很好地集成到构建流程中，DevOps团队可以测试和采用它，而无需授予对外部服务的权限或在某些组织中穿越复杂的流程。Paladin Cloud实际上查看运行中的基础设施，而非单纯依赖IaC，因此能够识别实际运行中的违规行为，而不仅仅是从Terraform或Pulumi配置中声明的部分。”

ArmorCode的产品副总裁Mark Lambert进一步指出，随着软件供应链变得愈发复杂，安全团队必须了解自己的开源使用情况，这往往是在第三方库、服务或工具中间接利用的。Lambert强调，“这就是软件材料清单(SBOM)可以发挥作用的地方。通过要求供应商披露所有嵌入技术，安全团队可以分析这些库，以进一步评估风险并采取相应措施。”

他警告说：“请记住，开源风险不能被视为某个时间点的问题。最近的Log4j漏洞就说明了，在无数系统中使用多年的软件被发现存在远程代码执行的风险。这要求在软件交付出管道后长时间对开源使用进行持续分析。”