IBM je najavio dostupnost Code Risk Analyzera u vašoj službi IBM Cloud Continuous Delivery, funkcija za pružiti programerima DevSecOps analiza sigurnosti i usklađenosti.
Analizator rizika koda može se konfigurirati za pokretanje pri pokretanju iz cjevovoda koda programera i ispituje i raščlanjuje Git spremišta traži nevolju poznat bilo kojem otvorenom kodu kojim treba upravljati.
Pomaže u pružanju lanaca alata, automatizirati izrade i testove, i omogućava korisnicima kontrolu kvalitete softvera pomoću analitike, kažu u kompaniji.
Cilj analizatora koda je omogućiti aplikacijskim timovima prepoznati prijetnje cyber sigurnosti, dajte prioritet sigurnosnim problemima koji mogu utjecati na aplikacije i riješite sigurnosne probleme.
IBM-ov Steven Weaver rekao je u postu:
„Smanjenje rizika od ugrađivanja ranjivosti u vaš kod je presudno za uspješan razvoj. Kako izvorne tehnologije otvorenog koda, kontejnera i oblaka postaju sve češće i važnije, pomicanje nadzora i testiranja ranije u razvojnom ciklusu može uštedjeti vrijeme i novac.
„Danas IBM sa zadovoljstvom najavljuje Code Risk Analyzer, novu značajku IBM Cloud Continuous Delivery. Razvijen zajedno s IBM istraživačkim projektima i povratnim informacijama kupaca, Code Risk Analyzer omogućava programerima poput vas da brzo procijene i isprave sve pravne i sigurnosne rizike koji su se potencijalno infiltrirali u vaš izvorni kod i daju povratne informacije direktno u vašu fontanu. Git artefakti (na primjer, zahtjevi za povlačenje / spajanje). Analizator rizika koda pruža se kao skup Tektonovih zadataka koji se lako mogu ugraditi u vaše kanale isporuke. "
Code Risk Analyzer pruža sljedeće funkcije za skeniranje izvornih spremišta zasnovanih na IBM Cloud Continuous Delivery Git-u i praćenje problema (GitHub) u potrazi za poznatim ranjivostima.
Mogućnosti uključuju otkrivanje ranjivosti u vašoj aplikaciji (Python, Node.js, Java) i stogu operativnog sistema (osnovna slika) na osnovu Snykove bogate inteligencije prijetnji. i Clear, te pruža preporuke za sanaciju.
IBM se udružio sa kompanijom Snyk kako bi integrirao pokrivenost Sveobuhvatan sigurnosni softver koji vam pomaže da automatski pronađete, odredite prioritete i popravite ranjivosti u spremnicima otvorenog koda i zavisnostima u ranom toku vašeg rada.
Bazu podataka o ranjivosti Snyk Intel neprestano priprema kupac iskusnog Snyk istraživačkog tima kako bi timovima omogućio optimalnu efikasnost u sadržavanju sigurnosnih problema otvorenog koda, a da istovremeno ostane fokusiran na razvoj.
Clair je projekt otvorenog koda za statičku analizu ranjivosti u spremnicima aplikacija. Budući da slike skenirate pomoću statičke analize, možete ih analizirati bez pokretanja spremnika.
Analizator rizika koda može otkriti greške u konfiguraciji u vašim Kubernetes datotekama za implementaciju zasnovane na industrijskim standardima i najboljoj praksi zajednice.
Analizator rizika koda generiše nomenklaturu (VM) A koji predstavlja sve zavisnosti i njihove izvore za aplikacije. Također, funkcija BoM-Diff omogućava vam da uporedite razlike u bilo kojim zavisnostima s osnovnim granama u izvornom kodu.
Iako su se prethodna rješenja usredotočila na pokretanje na početku cjevovoda koda programera, pokazala su se neučinkovitima jer su slike spremnika svedene tamo gdje sadrže minimalni korisni teret potreban za pokretanje aplikacije, a slike nemaju razvojni kontekst aplikacije.
Za artefakte aplikacija, Analizator rizika koda želi pružiti ranjivost, licenciranje i CIS provjere na konfiguracijama implementacije, generirati specifikacije i izvršiti sigurnosne provjere.
Datoteke Terraform (* .tf) koje se koriste za pružanje ili konfiguriranje usluga u oblaku kao što su Cloud Object Store i LogDNA također se analiziraju kako bi se identificirale pogreške sigurnosne konfiguracije.
Izvor: https://www.ibm.com