IBM va anunciar la disponibilitat de Code Risk Analyzer en el seu servei IBM Cloud Continuous Delivery, una funció per proporcionar als desenvolupadors anàlisi de seguretat i compliment de DevSecOps.
Code Risk Analyzer es pot configurar perquè s'executi a l'inici de la canalització de codi d'un desenvolupador i examina i analitza els repositoris de Git a la recerca de problemes coneguts amb qualsevol codi font obert que s'hagi d'administrar.
Ajuda a proporcionar cadenes d'eines, automatitza compilacions i proves, i permet als usuaris controlar la qualitat del programari amb anàlisi, segons l'empresa.
L'objectiu de l'analitzador de codi és permetre que els equips d'aplicacions identifiquin les amenaces de ciberseguretat, Prioritzin els problemes de seguretat que poden afectar les aplicacions i resolguin els problemes de seguretat.
Steven Weaver, d'IBM, va dir en una publicació:
"Reduir el risc d'incorporar vulnerabilitats en el seu codi és fonamental per a un desenvolupament reeixit. A mesura que les tecnologies natives de codi obert, de contenidors i del núvol es tornen més comuns i importants, moure el monitoratge i les proves més d'hora en el cicle de desenvolupament pot estalviar temps i diners.
"Avui, IBM es complau d'anunciar Code Risk Analyzer, una nova característica d'IBM Cloud Continuous Delivery. Desenvolupat juntament amb els projectes d'IBM Research i els comentaris dels clients, Code Risk Analyzer permet als desenvolupadors com vostè avaluar i corregir ràpidament qualsevol risc legal i de seguretat que s'hagi infiltrat potencialment en el seu codi font i proporciona comentaris directament en el seu codi font. Artefactes d'Git (per exemple, sol·licituds d'extracció / fusió). Code Risk Analyzer es proporciona com un conjunt de tasques de Tekton, que es poden incorporar fàcilment en els seus canals de lliurament ".
Code Risk Analyzer proporciona la següent funcionalitat a l' escanejar repositoris d'origen basats en IBM Cloud Continuous Delivery Git i Issue Tracking (GitHub) a la recerca de vulnerabilitats conegudes.
Les capacitats inclouen descobrir vulnerabilitats en la seva aplicació (Python, NODE.JS, Java) i la pila de sistema operatiu (imatge base) basant-se en la rica intel·ligència d'amenaces de Snyk. i Clear, i proporciona recomanacions de remediació.
IBM s'ha associat amb Snyk per integrar la seva cobertura de seguretat integral per ajudar-lo a trobar, prioritzar i corregir automàticament vulnerabilitats en dependències i contenidors de codi obert en les primeres etapes del seu flux de treball.
La base de dades de vulnerabilitats de Snyk Intel és seleccionada contínuament per un experimentat equip d'investigació de seguretat de Snyk per permetre que els equips siguin òptimament efectius per contenir els problemes de seguretat de codi obert, mentre romanen enfocats en el desenvolupament.
Clair és un projecte de codi obert per a l'anàlisi estàtic de vulnerabilitats en contenidors d'aplicacions. Com escaneja imatges mitjançant anàlisi estàtica, pot analitzar imatges sense necessitat d'executar el seu contenidor.
Code Risk Analyzer pot detectar errors de configuració en els seus arxius d'implementació de Kubernetes segons els estàndards de la indústria i les millors pràctiques de la comunitat.
Code Risk Analyzer genera una nomenclatura (BoM) que representa totes les dependències i les seves fonts per a les aplicacions. A més, la funció BoM-Diff li permet comparar les diferències en qualsevol dependència amb les branques base en el codi font.
Si bé les solucions anteriors se centraven en executar-se a l'inici de la canalització de codi d'un desenvolupador, han demostrat ser ineficaços perquè les imatges de contenidor s'han reduït a on contenen la càrrega útil mínima necessària per executar un a l'aplicació i les imatges no tenen el context de desenvolupament d'una aplicació.
Per als artefactes d'aplicacions, Code Risk Analyzer té com a objectiu el proporcionar comprovacions de vulnerabilitat, llicències i CIS en les configuracions d'implementació, generar llistes de materials i realitzar comprovacions de seguretat.
Els arxius Terraform (* .TF) utilitzats per aprovisionar o configurar serveis en el núvol com Cloud Object Store i LogDNA també s'analitzen per identificar errors de configuració de seguretat.
font: https://www.ibm.com