Az IBM bejelentette a Code Risk Analyzer elérhetőségét az IBM Cloud folyamatos szállítás szolgáltatásában, függvény a biztosítja a fejlesztőket DevSecOps biztonsági és megfelelőségi elemzése.
Kódkockázat-elemző konfigurálható indításkor történő futtatásra egy fejlesztői kódvezetékből és megvizsgálja és elemzi a Git adattárakat gondot keres minden nyílt forráskód ismeri, amelyet kezelni kell.
Segít szerszámláncok biztosításában, automatizálja az összeállításokat és teszteket, és lehetővé teszi a felhasználók számára, hogy a vállalat minősége alapján elemzéssel ellenőrizzék a szoftver minőségét.
A kódelemző célja az alkalmazáscsoportok engedélyezése azonosítsa a kiberbiztonsági fenyegetéseket, fontossági sorrendbe állítja az alkalmazásokat érintő biztonsági kérdéseket és megoldja a biztonsági kérdéseket.
Az IBM Steven Weaver egy bejegyzésében azt mondta:
„A sikeres fejlesztés szempontjából kritikus fontosságú a biztonsági rések beágyazásának kockázata. Ahogy a natív nyílt forráskódú, konténer és felhő technológiák egyre gyakoribbá és fontosabbá válnak, a fejlesztési ciklus elején végzett figyelés és tesztelés mozgatása időt és pénzt takaríthat meg.
„Ma az IBM örömmel jelentette be a Code Risk Analyzert, az IBM Cloud folyamatos kézbesítés új funkcióját. Az IBM Research projektekkel és az ügyfelek visszajelzéseivel együtt kifejlesztett Code Risk Analyzer segítségével az Önhöz hasonló fejlesztők gyorsan felmérhetik és kijavíthatják azokat a jogi és biztonsági kockázatokat, amelyek potenciálisan beszivárogtak a forráskódba, és közvetlenül visszajelzést adhatnak a kódba. Git-leletek (például húzási / egyesítési kérések). A Code Risk Analyzer a Tekton feladatok halmazaként szolgál, amelyek könnyen beépíthetők a szállítási csatornákba. "
A Code Risk Analyzer a következő funkciókat biztosítja a az IBM Cloud Continuous Delivery Git alapján vizsgálja meg a forrásraktárakat és az Issue Tracking (GitHub) ismert biztonsági réseket keres.
A képességek magukban foglalják az alkalmazás (Python, Node.js, Java) és az operációs rendszer verem (alapkép) biztonsági réseinek feltárását Snyk gazdag fenyegetési intelligenciája alapján. és Clear, és helyreállítási ajánlásokat ad.
Az IBM a Snyk-kel partnerségben integrálta lefedettségét Átfogó biztonsági szoftver, amely segít a munkafolyamat korai szakaszában a nyílt forráskódú tárolók és függőségek sebezhetőségének automatikus megtalálásában, prioritásba állításában és javításában.
A Snyk Intel biztonsági résének adatbázisát egy tapasztalt Snyk biztonsági kutatócsoport folyamatosan gondozza, hogy a csapatok optimálisan hatékonyan tudják kezelni a nyílt forráskódú biztonsági kérdéseket, miközben továbbra is a fejlesztésre összpontosítanak.
A Clair egy nyílt forráskódú projekt statikus elemzéshez biztonsági rések az alkalmazás tárolókban. Mivel statikus elemzéssel szkennel képeket, a tároló futtatása nélkül is elemezheti a képeket.
A Code Risk Analyzer felismeri a konfigurációs hibákat az ipari szabványok és a közösségi bevált gyakorlatok alapján a Kubernetes telepítési fájljaiban.
Kódkockázat-elemző nómenklatúrát generál (BoM) Az összes függőséget és azok forrásait képviselő A. Ezenkívül a BoM-Diff funkció lehetővé teszi, hogy összehasonlítsa a függőségek különbségeit a forráskódban található alapágakkal.
Míg a korábbi megoldások a fejlesztői kódvezeték kezdetén történő futtatásra összpontosítottak, hatástalannak bizonyultak, mert a konténerképek lerövidültek oda, ahol azok tartalmazzák az alkalmazás futtatásához szükséges minimális hasznos terhelést, és a képek egy alkalmazás fejlesztési kontextusával rendelkeznek.
Alkalmazástermékekre vonatkozóan a Code Risk Analyzer célja a biztonsági rések, licencek és CIS-ellenőrzések biztosítása a telepítési konfigurációkban, BOM-ok előállítása és biztonsági ellenőrzések végrehajtása.
A felhőalapú szolgáltatások, például a Cloud Object Store és a LogDNA létrehozásához vagy konfigurálásához használt Terraform fájlokat (* .tf) szintén elemzik a biztonsági konfigurációs hibák azonosítása érdekében.
forrás: https://www.ibm.com