IBM anunció la disponibilidad de Code Risk Analyzer en su servicio IBM Cloud Continuous Delivery, una función para proporcionar a los desarrolladores análisis de seguridad y cumplimiento de DevSecOps.
Code Risk Analyzer se puede configurar para que se ejecute al inicio de la canalización de código de un desarrollador y examina y analiza los repositorios de Git en busca de problemas conocidos con cualquier código fuente abierto que deba administrarse.
Ayuda a proporcionar cadenas de herramientas, automatiza compilaciones y pruebas, y permite a los usuarios controlar la calidad del software con análisis, según la empresa.
El objetivo del analizador de código es permitir que los equipos de aplicaciones identifiquen las amenazas de ciberseguridad, prioricen los problemas de seguridad que pueden afectar las aplicaciones y resuelvan los problemas de seguridad.
Steven Weaver, de IBM, dijo en una publicación:
“Reducir el riesgo de incorporar vulnerabilidades en su código es fundamental para un desarrollo exitoso. A medida que las tecnologías nativas de código abierto, de contenedores y de la nube se vuelven más comunes e importantes, mover el monitoreo y las pruebas más temprano en el ciclo de desarrollo puede ahorrar tiempo y dinero.
“Hoy, IBM se complace en anunciar Code Risk Analyzer, una nueva característica de IBM Cloud Continuous Delivery. Desarrollado junto con los proyectos de IBM Research y los comentarios de los clientes, Code Risk Analyzer permite a los desarrolladores como usted evaluar y corregir rápidamente cualquier riesgo legal y de seguridad que se haya infiltrado potencialmente en su código fuente y proporciona comentarios directamente en su código fuente. Artefactos de Git (por ejemplo, solicitudes de extracción / fusión). Code Risk Analyzer se proporciona como un conjunto de tareas de Tekton, que se pueden incorporar fácilmente en sus canales de entrega ”.
Code Risk Analyzer proporciona la siguiente funcionalidad al escanear repositorios de origen basados en IBM Cloud Continuous Delivery Git y Issue Tracking (GitHub) en busca de vulnerabilidades conocidas.
Las capacidades incluyen descubrir vulnerabilidades en su aplicación (Python, Node.js, Java) y la pila del sistema operativo (imagen base) basándose en la rica inteligencia de amenazas de Snyk. y Clear, y proporciona recomendaciones de remediación.
IBM se ha asociado con Snyk para integrar su cobertura de seguridad integral para ayudarlo a encontrar, priorizar y corregir automáticamente vulnerabilidades en dependencias y contenedores de código abierto en las primeras etapas de su flujo de trabajo.
La base de datos de vulnerabilidades de Snyk Intel es seleccionada continuamente por un experimentado equipo de investigación de seguridad de Snyk para permitir que los equipos sean óptimamente efectivos para contener los problemas de seguridad de código abierto, mientras permanecen enfocados en el desarrollo.
Clair es un proyecto de código abierto para el análisis estático de vulnerabilidades en contenedores de aplicaciones. Como escanea imágenes mediante análisis estático, puede analizar imágenes sin necesidad de ejecutar su contenedor.
Code Risk Analyzer puede detectar errores de configuración en sus archivos de implementación de Kubernetes según los estándares de la industria y las mejores prácticas de la comunidad.
Code Risk Analyzer genera una nomenclatura (BoM) que representa todas las dependencias y sus fuentes para las aplicaciones. Además, la función BoM-Diff le permite comparar las diferencias en cualquier dependencia con las ramas base en el código fuente.
Si bien las soluciones anteriores se centraban en ejecutarse al comienzo de la canalización de código de un desarrollador, han demostrado ser ineficaces porque las imágenes de contenedor se han reducido a donde contienen la carga útil mínima necesaria para ejecutar un la aplicación y las imágenes no tienen el contexto de desarrollo de una aplicación.
Para los artefactos de aplicaciones, Code Risk Analyzer tiene como objetivo el proporcionar comprobaciones de vulnerabilidad, licencias y CIS en las configuraciones de implementación, generar listas de materiales y realizar comprobaciones de seguridad.
Los archivos Terraform (* .tf) utilizados para aprovisionar o configurar servicios en la nube como Cloud Object Store y LogDNA también se analizan para identificar errores de configuración de seguridad.
Fuente: https://www.ibm.com