أعلنت شركة IBM عن توفر محلل مخاطر التعليمات البرمجية في خدمة IBM Cloud Continuous Delivery الخاصة بك ، وظيفة ل توفير المطورين تحليل الامتثال والأمان في DevSecOps.
محلل مخاطر التعليمات البرمجية يمكن تهيئتها للتشغيل عند بدء التشغيل من خط أنابيب كود المطور والفحص ويوزع مستودعات Git تبحث عن المتاعب معروف لأي كود مفتوح المصدر يحتاج إلى إدارته.
يساعد في توفير سلاسل الأدوات ، أتمتة الإنشاءات والاختبارات ، ويسمح للمستخدمين بالتحكم في جودة البرنامج باستخدام التحليلات ، وفقًا للشركة.
الهدف من محلل الكود هو السماح لفرق التطبيق تحديد تهديدات الأمن السيبرانيوتحديد أولويات مشكلات الأمان التي يمكن أن تؤثر على التطبيقات وحل مشكلات الأمان.
قال ستيفن ويفر من شركة IBM في منشور:
"إن تقليل مخاطر تضمين الثغرات الأمنية في التعليمات البرمجية الخاصة بك أمر بالغ الأهمية للتطوير الناجح. نظرًا لأن تقنيات المصادر المفتوحة والحاويات والسحابة الأصلية أصبحت أكثر شيوعًا وأهمية ، فإن نقل المراقبة والاختبار في وقت مبكر من دورة التطوير يمكن أن يوفر الوقت والمال.
اليوم ، يسر شركة IBM أن تعلن عن Code Risk Analyzer ، وهي ميزة جديدة في IBM Cloud Continuous Delivery. تم تطوير Code Risk Analyzer بالاشتراك مع مشاريع IBM Research وتعليقات العملاء ، ويتيح للمطورين أمثالك تقييم وتصحيح أي مخاطر قانونية وأمنية من المحتمل أن تكون قد تسللت إلى كود المصدر الخاص بك وتقديم ملاحظات مباشرة إلى مصدر التعليمات البرمجية الخاص بك. عناصر Git (على سبيل المثال ، طلبات السحب / الدمج). يتم توفير محلل مخاطر الكود كمجموعة من مهام Tekton ، والتي يمكن دمجها بسهولة في قنوات التسليم الخاصة بك ".
يوفر محلل مخاطر التعليمات البرمجية الوظائف التالية لـ مسح مستودعات المصدر استنادًا إلى IBM Cloud Continuous Delivery Git وتتبع المشكلات (GitHub) للبحث عن الثغرات الأمنية المعروفة.
تشمل القدرات اكتشاف الثغرات الأمنية في تطبيقك (Python و Node.js و Java) ومكدس نظام التشغيل (الصورة الأساسية) استنادًا إلى معلومات التهديدات الثرية لـ Snyk. وواضح ، ويقدم توصيات العلاج.
دخلت شركة IBM في شراكة مع Snyk لدمج تغطيتها أدوات أمان شاملة لمساعدتك في البحث عن الثغرات الأمنية وتحديد أولوياتها وإصلاحها تلقائيًا في الحاويات مفتوحة المصدر والتبعيات في وقت مبكر من سير عملك.
يتم تنسيق قاعدة بيانات Snyk Intel للثغرات الأمنية باستمرار بواسطة فريق بحث أمني متمرس في Snyk لتمكين الفرق من أن تكون فعالة على النحو الأمثل في احتواء مشكلات أمان المصدر المفتوح ، مع الاستمرار في التركيز على التطوير.
Clair هو مشروع مفتوح المصدر للتحليل الثابت نقاط الضعف في حاويات التطبيق. نظرًا لأنك تقوم بمسح الصور ضوئيًا باستخدام التحليل الثابت ، يمكنك تحليل الصور بدون تشغيل الحاوية الخاصة بك.
يمكن لمحلل مخاطر التعليمات البرمجية اكتشاف أخطاء التكوين في ملفات نشر Kubernetes الخاصة بك بناءً على معايير الصناعة وأفضل ممارسات المجتمع.
محلل مخاطر التعليمات البرمجية يولد التسمية (بنك مسقط) تمثل جميع التبعيات ومصادرها للتطبيقات. أيضًا ، تتيح لك وظيفة BoM-Diff مقارنة الاختلافات في أي تبعيات مع الفروع الأساسية في التعليمات البرمجية المصدر.
بينما ركزت الحلول السابقة على التشغيل في بداية خط أنابيب التعليمات البرمجية للمطور ، فقد أثبتت عدم فعاليتها لأن صور الحاوية قد تم تقليصها إلى حيث تحتوي على الحد الأدنى من الحمولة المطلوبة لتشغيل تطبيق ولا تحتوي الصور على سياق تطوير التطبيق.
بالنسبة إلى عناصر التطبيق ، يهدف Code Risk Analyzer إلى توفير الثغرات الأمنية والترخيص وفحوصات CIS على تكوينات النشر وإنشاء BOMs وإجراء فحوصات الأمان.
يتم أيضًا تحليل ملفات Terraform (* .tf) المستخدمة لتوفير أو تكوين الخدمات السحابية مثل Cloud Object Store و LogDNA لتحديد أخطاء تكوين الأمان.
مصدر: https://www.ibm.com