IBM ilmoitti Code Risk Analyzerin saatavuudesta IBM Cloud Continuous Delivery -palvelussa, toiminto tarjota kehittäjille DevSecOps-tietoturva- ja vaatimustenmukaisuusanalyysi.
Koodiriskianalysaattori voidaan määrittää toimimaan käynnistyksen yhteydessä kehittäjän koodiputkesta ja tutkii ja jäsentää Git-arkistot etsivät ongelmia mikä tahansa hallittavan avoimen lähdekoodin tiedossa.
Auttaa tarjoamaan työkaluketjuja, automatisoida rakennukset ja testit, ja antaa käyttäjien hallita ohjelmiston laatua analytiikan avulla yrityksen mukaan.
Koodianalysaattorin tavoite on sallia sovellusryhmät tunnistaa kyberturvallisuusuhat, priorisoi tietoturvaongelmat, jotka voivat vaikuttaa sovelluksiin, ja ratkaise tietoturvaongelmat.
IBM: n Steven Weaver sanoi viestissä:
"Haavoittuvuuksien upottaminen koodiin on ratkaisevan tärkeää onnistuneen kehityksen kannalta. Kun avoimen lähdekoodin, kontti- ja pilviteknologiat yleistyvät ja tärkeät, seurannan ja testauksen siirtäminen aiemmin kehitysvaiheessa voi säästää aikaa ja rahaa.
"IBM on tänään iloinen voidessaan ilmoittaa Code Risk Analyzer -tuotteen, joka on IBM Cloud Continuous Delivery -toiminnon uusi ominaisuus. Kehitetty yhdessä IBM: n tutkimusprojektien ja asiakaspalautteen kanssa, Code Risk Analyzer antaa sinun kaltaisille kehittäjille mahdollisuuden arvioida ja korjata nopeasti kaikki lähdekoodiin mahdollisesti tunkeutuneet oikeudelliset ja turvallisuusriskit ja antaa palautetta suoraan koodiin. Git-artefaktit (esimerkiksi veto- / yhdistämispyynnöt). Code Risk Analyzer on joukko Tekton-tehtäviä, jotka voidaan helposti liittää jakelukanaviin. "
Code Risk Analyzer tarjoaa seuraavat toiminnot: skannaa lähdetietovarastot IBM Cloud Continuous Delivery Gitin perusteella and Issue Tracking (GitHub) etsii tunnettuja haavoittuvuuksia.
Ominaisuuksiin kuuluu haavoittuvuuksien löytäminen sovelluksessasi (Python, Node.js, Java) ja käyttöjärjestelmän pino (peruskuva) Snykin runsaan uhkatiedon perusteella. ja selkeä, ja antaa korjaussuosituksia.
IBM on tehnyt yhteistyötä Snykin kanssa kattavuuden integroimiseksi Kattava tietoturvaohjelmisto, jonka avulla voit etsiä, priorisoida ja korjata haavoittuvuuksia avoimen lähdekoodin säilöissä ja riippuvuuksissa työnkulun varhaisessa vaiheessa.
Snyk Intelin haavoittuvuustietokantaa kuratoi jatkuvasti kokenut Snykin tietoturvatutkimusryhmä, jotta tiimit voivat toimia optimaalisesti tehokkaasti avoimen lähdekoodin tietoturvakysymyksissä keskittyen edelleen kehitykseen.
Clair on avoimen lähdekoodin projekti staattista analyysiä varten sovelluskonttien haavoittuvuudet. Koska skannaat kuvia staattisen analyysin avulla, voit analysoida kuvia tarvitsematta suorittaa säiliötä.
Koodiriskianalysaattori voi havaita määritysvirheet Kubernetes-asennustiedostoissasi alan standardien ja yhteisön parhaiden käytäntöjen perusteella.
Koodiriskianalysaattori tuottaa nimikkeistön (BoM) A edustaa kaikkia riippuvuuksia ja niiden lähteitä sovelluksiin. Lisäksi BoM-Diff-toiminnon avulla voit verrata mahdollisten riippuvuuksien eroja lähdekoodin perushaaroihin.
Aikaisemmat ratkaisut keskittyivät juoksemiseen kehittäjän koodiputken alussa, mutta ne ovat osoittautuneet tehottomiksi, koska konttikuvat on vähennetty sinne, missä ne sisältävät sovelluksen suorittamiseen vaaditun vähimmäiskuljetuksen, eikä kuvilla ole sovelluksen kehitysyhteyttä.
Sovelluksen artefakteja varten Code Risk Analyzer pyrkii tarjoamaan haavoittuvuus-, lisenssi- ja CIS-tarkistukset käyttöönottokokoonpanoille, luomaan luettelot ja suorittamaan turvatarkastuksia.
Terraform-tiedostoja (* .tf), joita käytetään pilvipalvelujen, kuten Cloud Object Store ja LogDNA, tarjoamiseen tai määrittämiseen, analysoidaan myös suojauskokoonpanovirheiden tunnistamiseksi.
lähde: https://www.ibm.com