IBM обяви наличието на Code Risk Analyzer във вашата услуга за непрекъсната доставка на IBM Cloud, функция за предоставят разработчици Анализ на сигурността и съответствието на DevSecOps.
Анализатор на кодов риск може да бъде конфигуриран да работи при стартиране от тръбопровода за код на разработчика и изследва и анализира хранилищата на Git търси неприятности известен на всеки отворен код, който трябва да се управлява.
Помага за предоставяне на вериги от инструменти, автоматизирайте компилации и тестове, и позволява на потребителите да контролират качеството на софтуера с анализи, според компанията.
Целта на кодовия анализатор е да разрешите на екипите за кандидатстване идентифициране на заплахи за киберсигурност, дайте приоритет на проблемите със сигурността, които могат да засегнат приложенията, и разрешете проблемите със сигурността.
Стивън Уивър от IBM заяви в публикация:
„Намаляването на риска от вграждане на уязвимости във вашия код е от решаващо значение за успешното разработване. Тъй като родните технологии с отворен код, контейнери и облак стават все по-често срещани и важни, преместването на мониторинга и тестването по-рано в цикъла на разработка може да спести време и пари.
„Днес IBM има удоволствието да обяви Code Risk Analyzer, нова функция на IBM Cloud Continuous Delivery. Разработен съвместно с изследователски проекти на IBM и обратна връзка с клиентите, Code Risk Analyzer дава възможност на разработчици като вас бързо да оценят и коригират всички правни и рискове за сигурността, които потенциално са проникнали във вашия изходен код, и да предоставят обратна връзка директно във вашия код. Git артефакти (например искания за изтегляне / обединяване). Code Risk Analyzer се предлага като набор от задачи на Tekton, които могат лесно да бъдат включени във вашите канали за доставка. "
Code Risk Analyzer предоставя следната функционалност на сканиране на хранилища на източници, базирани на IBM Cloud Continuous Delivery Git и Проследяване на проблеми (GitHub) в търсене на известни уязвимости.
Възможностите включват откриване на уязвимости във вашето приложение (Python, Node.js, Java) и стека на операционната система (основно изображение), базиран на богатата информация за заплахите на Snyk. и Clear и предоставя препоръки за отстраняване.
IBM си партнира със Snyk, за да интегрира покритието си Изчерпателни инструменти за защита, които ви помагат автоматично да намирате, приоритизирате и коригирате уязвимости в контейнери с отворен код и зависимости в началото на работния процес.
Базата данни за уязвимости на Snyk Intel непрекъснато се подготвя от опитен екип за изследване на сигурността на Snyk, за да даде възможност на екипите да бъдат оптимално ефективни при съдържанието на проблеми със сигурността с отворен код, като същевременно остават фокусирани върху развитието.
Clair е проект с отворен код за статичен анализ уязвимости в контейнери за приложения. Тъй като сканирате изображения, използвайки статичен анализ, можете да анализирате изображения, без да стартирате контейнера си.
Code Risk Analyzer може да открие грешки в конфигурацията във вашите файлове за внедряване на Kubernetes въз основа на отрасловите стандарти и най-добрите практики в общността.
Анализатор на кодов риск генерира номенклатура (BoM) A, представляваща всички зависимости и техните източници за приложения. Също така, функцията BoM-Diff ви позволява да сравнявате разликите във всякакви зависимости с базовите клонове в изходния код.
Докато предишните решения се фокусираха върху изпълнението в началото на кодовия тръбопровод на разработчика, те се оказаха неефективни, тъй като изображенията на контейнерите бяха намалени до местата, в които съдържат минималния полезен товар, необходим за стартиране на приложение, а изображенията нямат контекст на разработка на приложение.
За артефакти на приложения, Code Risk Analyzer има за цел да осигури уязвимост, лицензиране и CIS проверки на конфигурациите за разполагане, генериране на спецификации и извършване на проверки за сигурност.
Файловете Terraform (* .tf), използвани за предоставяне или конфигуриране на облачни услуги като Cloud Object Store и LogDNA, също се анализират, за да се идентифицират грешки в конфигурацията на защитата.
Fuente: https://www.ibm.com