Code Risk Analyzer: un service d'analyse de sécurité et de conformité de DevSecOps

IBM a annoncé la disponibilité de Code Risk Analyzer dans votre service IBM Cloud Continuous Delivery, une fonction pour fournir aux développeurs Analyse de la sécurité et de la conformité DevSecOps.

Analyseur de risque de code peut être configuré pour s'exécuter au démarrage à partir du pipeline de code d'un développeur et examine et analyse les dépôts Git chercher des ennuis connu de tout code open source qui doit être géré.

Aide à fournir des chaînes d'outils, automatiser les builds et les tests, et permet aux utilisateurs de contrôler la qualité du logiciel avec des analyses, selon l'entreprise.

Le but de l'analyseur de code est de permettre aux équipes applicatives identifier les menaces de cybersécurité, hiérarchisez les problèmes de sécurité susceptibles d'affecter les applications et résolvez les problèmes de sécurité.

Steven Weaver d'IBM a déclaré dans un message:

«La réduction du risque d'incorporation de vulnérabilités dans votre code est essentielle à la réussite du développement. Alors que les technologies natives open source, conteneur et cloud deviennent plus courantes et plus importantes, déplacer la surveillance et les tests plus tôt dans le cycle de développement peut faire gagner du temps et de l'argent.

«Aujourd'hui, IBM est heureux d'annoncer Code Risk Analyzer, une nouvelle fonctionnalité d'IBM Cloud Continuous Delivery. Développé en collaboration avec les projets IBM Research et les commentaires des clients, Code Risk Analyzer permet aux développeurs comme vous d'évaluer et de corriger rapidement les risques juridiques et de sécurité qui ont potentiellement infiltré votre code source et de fournir des commentaires directement dans votre code. Artefacts Git (par exemple, demandes d'extraction / fusion). L'analyseur de risque de code est fourni sous la forme d'un ensemble de tâches Tekton, qui peuvent être facilement intégrées à vos canaux de distribution. »

Code Risk Analyzer fournit les fonctionnalités suivantes pour analyser les référentiels sources basés sur IBM Cloud Continuous Delivery Git et Suivi des problèmes (GitHub) à la recherche de vulnérabilités connues.

Les fonctionnalités incluent la découverte de vulnérabilités dans votre application (Python, Node.js, Java) et la pile du système d'exploitation (image de base) sur la base de la riche intelligence des menaces de Snyk. et clair, et fournit des recommandations de remédiation.

IBM s'est associé à Snyk pour intégrer sa couverture Logiciel de sécurité complet pour vous aider à trouver, hiérarchiser et corriger automatiquement les vulnérabilités dans les conteneurs et les dépendances open source au début de votre flux de travail.

La base de données de vulnérabilité Snyk Intel est continuellement organisée par une équipe de recherche en sécurité Snyk expérimentée pour permettre aux équipes d'être efficaces de manière optimale pour contenir les problèmes de sécurité open source, tout en restant concentrées sur le développement.

Clair est un projet open source pour l'analyse statique vulnérabilités dans les conteneurs d'applications. Étant donné que vous numérisez des images à l'aide de l'analyse statique, vous pouvez analyser des images sans exécuter votre conteneur.

L'analyseur de risque de code peut détecter les erreurs de configuration dans vos fichiers de déploiement Kubernetes en fonction des normes du secteur et des meilleures pratiques de la communauté.

Analyseur de risque de code génère une nomenclature (BoM) A représentant toutes les dépendances et leurs sources pour les applications. En outre, la fonction BoM-Diff vous permet de comparer les différences dans toutes les dépendances avec les branches de base dans le code source.

Alors que les solutions précédentes se concentraient sur l'exécution au début du pipeline de code d'un développeur, elles se sont avérées inefficaces car les images de conteneurs ont été réduites à l'endroit où elles contiennent la charge utile minimale requise pour exécuter une application et les images n'ont pas le contexte de développement d'une application. .

Pour les artefacts d'application, Code Risk Analyzer vise à fournir des contrôles de vulnérabilité, de licence et CIS sur les configurations de déploiement, à générer des nomenclatures et à effectuer des contrôles de sécurité.

Les fichiers Terraform (* .tf) utilisés pour provisionner ou configurer des services cloud tels que Cloud Object Store et LogDNA sont également analysés pour identifier les erreurs de configuration de sécurité.

source: https://www.ibm.com


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.