IBM annoncerede tilgængeligheden af Code Risk Analyzer på deres IBM Cloud Continuous Delivery-tjeneste, en funktion til give udviklere sikkerhedsanalyse og DevSecOps-overholdelse.
Code Risk Analyzer kan konfigureres til at køre ved opstart af en udviklers kodepipeline og undersøger og analyser Git-lagrene leder efter problemer kendt med enhver åben kildekode, der skal administreres.
Hjælper med at levere værktøjskæder, automatisere builds og tests, og giver brugerne mulighed for at overvåge softwarekvaliteten med analyser, ifølge virksomheden.
Formålet med kodeanalysatoren er at tillade ansøgningsteams identificere cybersikkerhedstrusler, prioriter sikkerhedsproblemer, der kan påvirke applikationer, og løs sikkerhedsproblemer.
IBMs Steven Weaver sagde i et indlæg:
"At reducere risikoen for at inkorporere sårbarheder i din kode er afgørende for en vellykket udvikling. Efterhånden som open source-, container- og cloud-native teknologier bliver mere almindelige og vigtige, kan flytning af overvågning og test tidligere i udviklingscyklussen spare tid og penge.
"I dag er IBM glad for at kunne annoncere Code Risk Analyzer, en ny funktion i IBM Cloud Continuous Delivery. Udviklet i forbindelse med IBM Research-projekter og kundefeedback, giver Code Risk Analyzer udviklere som dig mulighed for hurtigt at vurdere og afhjælpe eventuelle juridiske og sikkerhedsmæssige risici, der potentielt har infiltreret din kildekode, og giver feedback direkte ind i din kodefontæne. Git-artefakter (f.eks. pull/merge-anmodninger). Code Risk Analyzer leveres som et sæt Tekton-opgaver, som nemt kan inkorporeres i dine leveringspipelines”.
Code Risk Analyzer giver følgende funktionalitet ved scan kildelagre baseret på IBM Cloud Continuous Delivery Git og Issue Tracking (GitHub) for kendte sårbarheder.
Mulighederne omfatter opdagelse af sårbarheder i din applikation (Python, Node.js, Java) og operativsystemstak (basisbillede) baseret på Snyks rige trusselsintelligens. og Clear, og giver anbefalinger til afhjælpning.
IBM har indgået et samarbejde med Snyk for at integrere deres dækning Omfattende sikkerhedssoftware, der hjælper dig med automatisk at finde, prioritere og rette sårbarheder i open source-containere og afhængigheder tidligt i dit workflow.
Snyk Intels sårbarhedsdatabase kurateres løbende af et erfarent Snyk-sikkerhedsforskningsteam for at gøre det muligt for teams at være optimalt effektive til at indeholde open source-sikkerhedsproblemer, mens de forbliver fokuseret på udvikling.
Clair er et open source-projekt til statisk analyse af sårbarheder i applikationscontainere. Fordi det scanner billeder ved hjælp af statisk analyse, kan du analysere billeder uden at køre din container.
Code Risk Analyzer kan opdage konfigurationsfejl i dine Kubernetes-implementeringsfiler baseret på industristandarder og bedste praksis i fællesskabet.
Code Risk Analyzer genererer en nomenklatur (BoM) A, der repræsenterer alle afhængigheder og deres kilder til applikationer. BoM-Diff-funktionen giver dig også mulighed for at sammenligne forskellene i enhver afhængighed med basisgrenene i kildekoden.
Mens tidligere løsninger fokuserede på at køre i begyndelsen af en udviklers kodepipeline, har de vist sig at være ineffektive, fordi containerbilleder er blevet reduceret til det sted, hvor de indeholder den mindste nyttelast, der er nødvendig for at køre en applikation, og billederne ikke har en applikations udviklingskontekst.
For applikationsartefakter sigter Code Risk Analyzer på at levere sårbarhed, licens- og CIS-tjek på implementeringskonfigurationer, generere styklister og udføre sikkerhedstjek.
Terraform (*.tf)-filer, der bruges til at levere eller konfigurere cloud-tjenester såsom Cloud Object Store og LogDNA, scannes også for sikkerhedsfejlkonfigurationer.
kilde: https://www.ibm.com