IBM oznámila dostupnost Code Risk Analyzer ve službě IBM Cloud Continuous Delivery, funkce pro poskytnout vývojářům Analýza zabezpečení a dodržování předpisů DevSecOps.
Analyzátor rizik kódu lze nakonfigurovat pro spuštění při spuštění z vývojového kanálu kódu a zkoumá a analyzuje úložiště Git hledají potíže známý jakémukoli otevřenému zdrojovému kódu, který je třeba spravovat.
Pomáhá poskytovat řetězce nástrojů, automatizovat sestavení a testy, a umožňuje uživatelům kontrolovat kvalitu softwaru pomocí analytiky, podle společnosti.
Cíl analyzátoru kódu je umožnit aplikační týmy identifikovat kybernetické bezpečnostní hrozby, upřednostněte bezpečnostní problémy, které mohou ovlivnit aplikace, a vyřešte bezpečnostní problémy.
Steven Weaver z IBM v příspěvku uvedl:
„Pro úspěšný vývoj je zásadní snížit riziko zabudování zranitelných míst do vašeho kódu. Jelikož se nativní technologie open source, kontejner a cloud stávají běžnějšími a důležitějšími, může přesunutí monitorování a testování dříve ve vývojovém cyklu ušetřit čas a peníze.
„Dnes IBM s potěšením oznamuje Code Risk Analyzer, novou funkci IBM Cloud Continuous Delivery. Code Risk Analyzer, vyvinutý ve spolupráci s projekty IBM Research a zpětnou vazbou od zákazníků, umožňuje vývojářům, jako jste vy, rychle vyhodnotit a napravit veškerá právní a bezpečnostní rizika, která potenciálně infiltrovala váš zdrojový kód, a poskytnout zpětnou vazbu přímo do vašeho kódu. Gitové artefakty (například žádosti o stažení / sloučení). Analyzátor rizik kódu je poskytován jako sada úkolů společnosti Tekton, které lze snadno začlenit do vašich doručovacích kanálů. “
Code Risk Analyzer poskytuje následující funkce skenovat zdrojová úložiště na základě IBM Cloud Continuous Delivery Git and Issue Tracking (GitHub) hledá známé chyby zabezpečení.
Mezi možnosti patří objevování zranitelných míst ve vaší aplikaci (Python, Node.js, Java) a zásobníku operačního systému (základní obrázek) na základě bohaté inteligence hrozeb Snyka. a Vymazat a poskytuje doporučení k nápravě.
IBM uzavřela partnerství se společností Snyk za účelem integrace jejího pokrytí Komplexní bezpečnostní nástroje, které vám pomohou automaticky najít, upřednostnit a opravit chyby zabezpečení v kontejnerech a závislostech otevřeného zdroje na začátku pracovního postupu.
Databáze zranitelnosti Snyk Intel je průběžně připravována zkušeným týmem zabývajícím se výzkumem zabezpečení Snyk, aby týmy mohly optimálně účinně zvládat problémy zabezpečení open source a přitom se nadále soustředit na vývoj.
Clair je projekt open source pro statickou analýzu chyby zabezpečení v aplikačních kontejnerech. Protože skenujete obrázky pomocí statické analýzy, můžete je analyzovat bez spuštění kontejneru.
Analyzátor rizik kódu dokáže detekovat chyby konfigurace ve vašich souborech nasazení Kubernetes na základě průmyslových standardů a osvědčených postupů komunity.
Analyzátor rizik kódu generuje nomenklaturu (BoM) Představující všechny závislosti a jejich zdroje pro aplikace. Funkce BoM-Diff také umožňuje porovnat rozdíly ve všech závislostech se základními větvemi ve zdrojovém kódu.
Zatímco předchozí řešení se zaměřila na spuštění na začátku vývojového kanálu kódu, ukázaly se neúčinné, protože obrázky kontejnerů byly sníženy na místo, kde obsahují minimální užitečné zatížení potřebné ke spuštění aplikace a obrázky nemají kontext vývoje aplikace .
U artefaktů aplikací si Code Risk Analyzer klade za cíl poskytovat kontroly zranitelnosti, licencí a CIS konfigurací nasazení, generovat kusovníky a provádět kontroly zabezpečení.
Soubory terraformu (* .tf) používané k zajištění nebo konfiguraci cloudových služeb, jako je Cloud Object Store a LogDNA, jsou také analyzovány za účelem identifikace chyb konfigurace zabezpečení.
zdroj: https://www.ibm.com