Η IBM ανακοίνωσε τη διαθεσιμότητα του Code Risk Analyzer στην υπηρεσία IBM Cloud Continuous Delivery, μια συνάρτηση για παρέχει προγραμματιστές Ανάλυση ασφάλειας και συμμόρφωσης DevSecOps.
Αναλυτής Κωδικού Κινδύνου μπορεί να ρυθμιστεί ώστε να λειτουργεί κατά την εκκίνηση από έναν αγωγό κώδικα προγραμματιστή και εξετάζει και αναλύει τα αποθετήρια Git ψάχνω για πρόβλημα γνωστό σε οποιονδήποτε κώδικα ανοιχτού κώδικα που πρέπει να διαχειριστεί.
Βοηθά στην παροχή αλυσίδων εργαλείων, αυτοματοποιεί κατασκευές και δοκιμές, και επιτρέπει στους χρήστες να ελέγχουν την ποιότητα του λογισμικού με αναλυτικά στοιχεία, σύμφωνα με την εταιρεία.
Ο στόχος του αναλυτή κώδικα είναι να επιτρέπεται σε ομάδες εφαρμογών εντοπισμός απειλών για την ασφάλεια στον κυβερνοχώρο, δώστε προτεραιότητα σε ζητήματα ασφαλείας που μπορούν να επηρεάσουν εφαρμογές και επιλύστε ζητήματα ασφαλείας.
Ο Steven Weaver της IBM είπε σε μια ανάρτηση:
«Η μείωση του κινδύνου ενσωμάτωσης ευπαθειών στον κώδικα σας είναι κρίσιμη για την επιτυχή ανάπτυξη. Καθώς οι εγγενείς τεχνολογίες ανοιχτού κώδικα, κοντέινερ και cloud γίνονται πιο κοινές και σημαντικές, η μετακίνηση παρακολούθησης και δοκιμών νωρίτερα στον κύκλο ανάπτυξης μπορεί να εξοικονομήσει χρόνο και χρήματα.
«Σήμερα, η IBM ανακοινώνει με ευχαρίστηση τον Code Risk Analyzer, ένα νέο χαρακτηριστικό της IBM Cloud Continuous Delivery. Αναπτύχθηκε σε συνδυασμό με έργα IBM Research και σχόλια πελατών, το Code Risk Analyzer δίνει τη δυνατότητα σε προγραμματιστές όπως εσείς να αξιολογήσουν και να διορθώσουν γρήγορα τυχόν νομικούς κινδύνους και κινδύνους ασφαλείας που ενδεχομένως έχουν διεισδύσει στον πηγαίο κώδικα και να παρέχουν σχόλια απευθείας στον κώδικα σας. Git artifacts (για παράδειγμα, αιτήματα έλξης / συγχώνευσης). Το Code Risk Analyzer παρέχεται ως ένα σύνολο εργασιών Tekton, τα οποία μπορούν εύκολα να ενσωματωθούν στα κανάλια παράδοσης. "
Το Code Risk Analyzer παρέχει την ακόλουθη λειτουργικότητα σάρωση αποθετηρίων πηγής με βάση το IBM Cloud Continuous Delivery Git και παρακολούθηση προβλημάτων (GitHub) που αναζητούν γνωστά τρωτά σημεία.
Οι δυνατότητες περιλαμβάνουν την ανακάλυψη τρωτών σημείων στην εφαρμογή σας (Python, Node.js, Java) και τη στοίβα λειτουργικού συστήματος (βασική εικόνα) με βάση την πλούσια ευφυΐα του Snyk. και Εκκαθάριση και παρέχει προτάσεις αποκατάστασης.
Η IBM συνεργάστηκε με τη Snyk για να ενσωματώσει την κάλυψή της Πλήρη εργαλεία ασφαλείας που θα σας βοηθήσουν να εντοπίσετε, να δώσετε προτεραιότητα και να διορθώσετε αυτόματα τις ευπάθειες σε κοντέινερ ανοιχτού κώδικα και εξαρτήσεις από την αρχή της ροής εργασίας σας.
Η βάση δεδομένων ευπάθειας Snyk Intel επιμελείται συνεχώς από μια έμπειρη ερευνητική ομάδα ασφάλειας της Snyk, ώστε οι ομάδες να μπορούν να είναι βέλτιστα αποτελεσματικές στον περιορισμό ζητημάτων ασφάλειας ανοιχτού κώδικα, ενώ παραμένουν επικεντρωμένες στην ανάπτυξη.
Το Clair είναι ένα έργο ανοιχτού κώδικα για στατική ανάλυση ευπάθειες σε κοντέινερ εφαρμογών. Επειδή σαρώσετε εικόνες χρησιμοποιώντας στατική ανάλυση, μπορείτε να αναλύσετε εικόνες χωρίς να εκτελέσετε το κοντέινερ.
Ο Code Risk Analyzer μπορεί να εντοπίσει σφάλματα διαμόρφωσης στα αρχεία ανάπτυξης του Kubernetes με βάση τα βιομηχανικά πρότυπα και τις βέλτιστες πρακτικές της κοινότητας.
Αναλυτής Κωδικού Κινδύνου δημιουργεί μια ονοματολογία (BoM) A που αντιπροσωπεύει όλες τις εξαρτήσεις και τις πηγές τους για εφαρμογές. Επίσης, η λειτουργία BoM-Diff σας επιτρέπει να συγκρίνετε τις διαφορές σε οποιεσδήποτε εξαρτήσεις με τους βασικούς κλάδους στον πηγαίο κώδικα.
Ενώ οι προηγούμενες λύσεις επικεντρώθηκαν στην εκτέλεση στην αρχή ενός αγωγού κώδικα προγραμματιστή, έχουν αποδειχθεί αναποτελεσματικές, επειδή οι εικόνες κοντέινερ έχουν μειωθεί στο σημείο όπου περιέχουν το ελάχιστο ωφέλιμο φορτίο που απαιτείται για την εκτέλεση μιας εφαρμογής και οι εικόνες δεν έχουν το πλαίσιο ανάπτυξης μιας εφαρμογής .
Για τα τεχνουργήματα εφαρμογών, ο Code Risk Analyzer στοχεύει στην παροχή τρωτών σημείων, αδειών χρήσης και ελέγχων CIS σε διαμορφώσεις ανάπτυξης, δημιουργίας BOM και εκτέλεσης ελέγχων ασφαλείας.
Τα αρχεία Terraform (* .tf) που χρησιμοποιούνται για την παροχή ή τη ρύθμιση παραμέτρων υπηρεσιών cloud όπως το Cloud Object Store και το LogDNA αναλύονται επίσης για τον εντοπισμό σφαλμάτων διαμόρφωσης ασφαλείας.
πηγή: https://www.ibm.com