आईबीएम ने कोड रिस्क एनालाइजर की उपलब्धता की घोषणा की अपने आईबीएम क्लाउड सतत वितरण सेवा में, के लिए एक समारोह डेवलपर्स प्रदान करें DevSecOps सुरक्षा और अनुपालन विश्लेषण।
कोड जोखिम विश्लेषक स्टार्टअप पर चलाने के लिए कॉन्फ़िगर किया जा सकता है एक डेवलपर की कोड पाइपलाइन और जांच से और Git रिपॉजिटरी को पार्स करता है मुसीबत की तलाश किसी भी ओपन सोर्स कोड के लिए जाना जाता है जिसे प्रबंधित करने की आवश्यकता होती है।
उपकरण श्रृंखला प्रदान करने में मदद करता है, स्वचालित बनाता है और परीक्षण, और उपयोगकर्ताओं को कंपनी के अनुसार, एनालिटिक्स के साथ सॉफ्टवेयर की गुणवत्ता को नियंत्रित करने की अनुमति देता है।
कोड विश्लेषक का लक्ष्य आवेदन टीमों को अनुमति देने के लिए है साइबर सुरक्षा खतरों की पहचान करें, सुरक्षा समस्याओं को प्राथमिकता दें जो अनुप्रयोगों को प्रभावित कर सकते हैं, और सुरक्षा मुद्दों को हल कर सकते हैं।
आईबीएम के स्टीवन वीवर ने एक पोस्ट में कहा:
"अपने कोड में एम्बेडिंग कमजोरियों के जोखिम को कम करना सफल विकास के लिए महत्वपूर्ण है। देशी खुले स्रोत के रूप में, कंटेनर, और क्लाउड प्रौद्योगिकियां अधिक सामान्य और महत्वपूर्ण हो जाती हैं, विकास चक्र में पहले से निगरानी और परीक्षण चलती समय और धन बचा सकती है।
"आज, आईबीएम कोड रिस्क एनालाइज़र, आईबीएम क्लाउड कॉन्टिन्युअस डिलीवरी की एक नई सुविधा की घोषणा करने की कृपा है। आईबीएम अनुसंधान परियोजनाओं और ग्राहकों की प्रतिक्रिया के साथ संयोजन के रूप में विकसित, कोड रिस्क विश्लेषक आपके जैसे डेवलपर्स को किसी भी कानूनी और सुरक्षा जोखिमों का त्वरित रूप से आकलन करने और सही करने में सक्षम बनाता है, जो आपके स्रोत कोड में संभावित रूप से घुसपैठ कर चुके हैं और आपके कोड में सीधे फीडबैक प्रदान करते हैं। Git कलाकृतियाँ (उदाहरण के लिए, पुल / मर्ज अनुरोध)। कोड रिस्क एनालाइज़र टेकन कार्यों के एक सेट के रूप में प्रदान किया जाता है, जिसे आसानी से आपके वितरण चैनलों में शामिल किया जा सकता है। "
कोड जोखिम विश्लेषक निम्नलिखित कार्यक्षमता प्रदान करता है आईबीएम क्लाउड कंटिन्यूअस डिलीवरी गिट पर आधारित स्कैन सोर्स रिपोजिटरी और जारी ट्रैकिंग (GitHub) ज्ञात कमजोरियों की तलाश में है।
क्षमताओं में आपके आवेदन में कमजोरियों की खोज करना (अजगर, Node.js, Java) और ऑपरेटिंग सिस्टम स्टैक (आधार छवि) Snyk की समृद्ध खतरे की बुद्धिमत्ता पर आधारित है। और स्पष्ट, और उपचारात्मक सिफारिशें प्रदान करता है।
आईबीएम ने अपने कवरेज को एकीकृत करने के लिए Snyk के साथ भागीदारी की है व्यापक सुरक्षा उपकरण आपको अपने वर्कफ़्लो में शुरुआती स्रोत कंटेनर और निर्भरता में कमजोरियों को स्वचालित रूप से खोजने, प्राथमिकता देने और ठीक करने में मदद करने के लिए।
Snyk Intel Vulnerability Database लगातार एक अनुभवी Snyk Security Research Team द्वारा निरंतर रूप से क्यूरेट किया जाता है, ताकि टीमों को खुले स्रोत के सुरक्षा मुद्दों को शामिल करने में सक्षम रूप से प्रभावी बनाया जा सके, जबकि विकास पर ध्यान केंद्रित किया जा सके।
स्थिर विश्लेषण के लिए क्लेयर एक ओपन सोर्स प्रोजेक्ट है अनुप्रयोग कंटेनरों में कमजोरियाँ। क्योंकि आप स्थिर विश्लेषण का उपयोग करके छवियों को स्कैन करते हैं, आप अपने कंटेनर को चलाने के बिना छवियों का विश्लेषण कर सकते हैं।
कोड जोखिम विश्लेषक कॉन्फ़िगरेशन त्रुटियों का पता लगा सकता है उद्योग मानकों और सामुदायिक सर्वोत्तम प्रथाओं के आधार पर अपनी कुबेरनेट्स तैनाती फाइलों में।
कोड जोखिम विश्लेषक एक नामकरण उत्पन्न करता है (बीओएम) एक जो अनुप्रयोगों के लिए सभी निर्भरता और उनके स्रोतों का प्रतिनिधित्व करता है। इसके अलावा, BoM-Diff फ़ंक्शन आपको स्रोत कोड में आधार शाखाओं के साथ किसी भी निर्भरता में अंतर की तुलना करने की अनुमति देता है।
जबकि पिछले समाधानों ने एक डेवलपर की कोड पाइपलाइन की शुरुआत में चलने पर ध्यान केंद्रित किया है, वे अप्रभावी साबित हुए हैं क्योंकि कंटेनर छवियों को कम कर दिया गया है, जहां उन्हें एप्लिकेशन चलाने के लिए आवश्यक न्यूनतम पेलोड होता है और छवियों में किसी एप्लिकेशन का विकास संदर्भ नहीं होता है ।
एप्लिकेशन कलाकृतियों के लिए, कोड रिस्क एनालाइज़र का उद्देश्य तैनाती कॉन्फ़िगरेशन पर भेद्यता, लाइसेंसिंग और सीआईएस चेक प्रदान करना, बीओएम उत्पन्न करना और सुरक्षा जांच करना है।
क्लाउड ऑब्जेक्ट स्टोर और लॉगडीएनए जैसी क्लाउड सेवाओं को प्रावधान या कॉन्फ़िगर करने के लिए उपयोग की जाने वाली टेराफॉर्म फाइलें (* .tf) का भी सुरक्षा कॉन्फ़िगरेशन त्रुटियों की पहचान करने के लिए विश्लेषण किया जाता है।
Fuente: https://www.ibm.com