IBM teatas Code Risk Analyzeri kättesaadavusest oma IBM Cloudi pideva kohaletoimetamise teenuses, funktsioon pakkuda arendajatele DevSecOpsi turvalisuse ja vastavuse analüüs.
Koodi riskianalüsaator saab konfigureerida käivitamisel käivitamiseks arendaja kooditorust ja uurib ja sõelub Giti hoidlaid vaeva otsimas teada kõigile avatud lähtekoodidele, mida tuleb hallata.
Aitab pakkuda tööriistakette, automatiseerida ehitusi ja teste, ja võimaldab kasutajatel ettevõtte andmetel tarkvara kvaliteeti analüüsi abil kontrollida.
Koodianalüsaatori eesmärk on lubada rakendusemeeskondi tuvastada küberturvalisuse ohud, seada prioriteediks turvaküsimused, mis võivad rakendusi mõjutada, ja lahendada turbeprobleemid.
IBMi Steven Weaver ütles postituses:
„Edukaks arendamiseks on kriitilise tähtsusega oma koodi haavatavuse ohu vähendamine. Kuna kohalikud avatud lähtekoodiga, konteinerite ja pilvetehnoloogiad muutuvad üha tavalisemaks ja olulisemaks, võib monitooringu ja testimise teisaldamine arendustsükli varasemal ajal säästa aega ja raha.
„Täna on IBMil hea meel teatada koodipõhiste analüüside tegijatest, mis on IBM Cloudi pideva tarnimise uus funktsioon. Koos IBMi uurimisprojektide ja klientide tagasisidega välja töötatud Code Risk Analyzer võimaldab sinusugustel arendajatel kiiresti hinnata ja parandada kõiki õiguslikke ja turvariske, mis on potentsiaalselt tunginud teie lähtekoodi, ja anda tagasisidet otse teie koodi. Giti artefaktid (näiteks tõmmata / ühendada taotlusi). Koodiriskianalüsaator on saadaval Tektoni ülesannete komplektina, mida saab hõlpsasti lisada teie kohaletoimetamiskanalitesse. ”
Koodiriski analüüsija pakub järgmisi funktsioone skannige lähtekoodihoidlaid, mis põhinevad IBM Cloud Continuous Delivery Gitil ja probleemide jälgimine (GitHub), otsides teadaolevaid haavatavusi.
Võimalused hõlmavad teie rakenduse (Python, Node.js, Java) ja operatsioonisüsteemi virna (baaspildi) haavatavuste avastamist, tuginedes Snyki rikkalikule ohuteabele. ja selge ning annab soovitusi parandamiseks.
IBM on oma leviala integreerimiseks teinud koostööd Snykiga Terviklikud turbetööriistad, mis aitavad teil töövoo alguses avatud lähtekoodiga konteinerites ja sõltuvustes haavatavusi automaatselt leida, prioriseerida ja parandada.
Snyki Inteli haavatavuste andmebaasi kureerib pidevalt kogenud Snyki turvauuringute meeskond, et meeskonnad oleksid avatud lähtekoodiga turbeprobleemide optimaalselt tõhusad, keskendudes samal ajal arendamisele.
Clair on staatilise analüüsi jaoks avatud lähtekoodiga projekt haavatavused rakenduste konteinerites. Kuna skannite pilte staatilise analüüsi abil, saate pilte analüüsida ilma konteinerit käivitamata.
Koodiriski analüüsija suudab tuvastada konfiguratsioonivead oma Kubernetese juurutusfailides vastavalt tööstusharu standarditele ja kogukonna parimatele tavadele.
Koodi riskianalüsaator genereerib nomenklatuuri (BoM) A, mis tähistab kõiki sõltuvusi ja nende rakenduste allikaid. Samuti võimaldab funktsioon BoM-Diff võrrelda mis tahes sõltuvuste erinevusi lähtekoodi baasharudega.
Kui eelmised lahendused keskendusid arendaja koodijuhtme alguses töötamisele, on need osutunud ebaefektiivseks, kuna konteineripilte on vähendatud sinna, kus need sisaldavad rakenduse käitamiseks vajalikku minimaalset kasulikku koormust ja piltidel pole rakenduse arenduskonteksti .
Rakenduse artefaktide jaoks on Code Risk Analyzeri eesmärk pakkuda juurutuskonfiguratsioonide haavatavust, litsentsimist ja CIS-i kontrolli, genereerida BOM-e ja teha turvakontrolle.
Turvakonfiguratsiooni vigade tuvastamiseks analüüsitakse ka pilveteenuste, näiteks Cloud Object Store'i ja LogDNA, pakkumiseks või konfigureerimiseks kasutatavaid terraform-faile (* .tf).
allikas: https://www.ibm.com