IBM je najavio dostupnost Code Risk Analyzera u vašoj IBM Cloud Service Continuous Delivery usluzi, funkcija za pružiti programerima DevSecOps analiza sigurnosti i usklađenosti.
Analizator rizika koda može se konfigurirati za pokretanje pri pokretanju iz cjevovoda koda programera i ispituje i raščlanjuje Git spremišta tražeći nevolje poznat bilo kojem otvorenom izvornom kodu kojim treba upravljati.
Pomaže u pružanju lanaca alata, automatizirati izrade i testove, i omogućuje korisnicima praćenje kvalitete softvera pomoću analitike, kažu u tvrtki.
Cilj analizatora koda je dopustiti prijavnim timovima prepoznati prijetnje kibernetske sigurnosti, dajte prioritet sigurnosnim problemima koji mogu utjecati na programe i riješite sigurnosne probleme.
IBM-ov Steven Weaver rekao je u postu:
“Smanjenje rizika od ugrađivanja ranjivosti u vaš kôd presudno je za uspješan razvoj. Kako izvorne tehnologije otvorenog koda, spremnika i oblaka postaju sve češće i važnije, pomicanje nadzora i testiranja ranije u razvojnom ciklusu može uštedjeti vrijeme i novac.
“IBM danas sa zadovoljstvom najavljuje Code Risk Analyzer, novu značajku IBM-ove kontinuirane isporuke u oblaku. Razvijen zajedno s IBM istraživačkim projektima i povratnim informacijama kupaca, Code Risk Analyzer omogućava programerima poput vas da brzo procijene i isprave sve pravne i sigurnosne rizike koji su potencijalno ušli u vaš izvorni kod i daju povratne informacije izravno u vašu fontanu. Git artefakti (na primjer, zahtjevi za povlačenjem / spajanjem). Analizator rizika koda pruža se kao skup Tektonovih zadataka koji se lako mogu ugraditi u vaše kanale isporuke. "
Code Risk Analyzer pruža sljedeće funkcije za skenirati izvorna spremišta na temelju IBM Cloud Continuous Delivery Gita i praćenje problema (GitHub) u potrazi za poznatim ranjivostima.
Mogućnosti uključuju otkrivanje ranjivosti u vašoj aplikaciji (Python, Node.js, Java) i stogu operacijskog sustava (osnovna slika) na temelju Snykove bogate inteligencije prijetnji. i Clear, te pruža preporuke za sanaciju.
IBM se udružio sa Snykom kako bi integrirao svoje pokriće Sveobuhvatni sigurnosni alati koji vam pomažu da automatski pronađete, odredite prioritete i popravite ranjivosti u spremnicima otvorenog koda i ovisnostima u ranom tijeku rada.
Bazu podataka ranjivosti Snyk Intel neprestano priprema kušač iskusnog Snykovog sigurnosnog istraživačkog tima kako bi timovima omogućio optimalnu učinkovitost u sadržavanju sigurnosnih problema otvorenog koda, a istovremeno ostaje usredotočen na razvoj.
Clair je projekt otvorenog koda za statičku analizu ranjivosti u spremnicima aplikacija. Budući da slike skenirate pomoću statičke analize, možete ih analizirati bez pokretanja spremnika.
Analizator rizika koda može otkriti konfiguracijske pogreške u vašim Kubernetesovim datotekama za postavljanje temeljenim na industrijskim standardima i najboljoj praksi zajednice.
Analizator rizika koda generira nomenklaturu (UM) A koji predstavlja sve ovisnosti i njihove izvore za aplikacije. Također, funkcija BoM-Diff omogućuje vam usporedbu razlika u bilo kojim ovisnostima s osnovnim granama u izvornom kodu.
Iako su se prethodna rješenja usredotočila na pokretanje na početku cjevovoda koda programera, pokazala su se neučinkovitima jer su slike spremnika skraćene tamo gdje sadrže minimalnu korisnu težinu potrebnu za pokretanje aplikacije, a slike nemaju razvojni kontekst aplikacije .
Za artefakte aplikacija, Analizator rizika koda želi pružiti ranjivost, licenciranje i CIS provjere konfiguracija implementacije, generirati specifikacije i izvršiti sigurnosne provjere.
Datoteke Terraform (* .tf) koje se koriste za pružanje ili konfiguriranje usluga u oblaku poput Cloud Object Store i LogDNA također se analiziraju kako bi se identificirale pogreške sigurnosne konfiguracije.
izvor: https://www.ibm.com