IBM mengumumkan ketersediaan Penganalisis Risiko Kode dalam layanan IBM Cloud Continuous Delivery Anda, sebuah fungsi untuk menyediakan pengembang Analisis keamanan dan kepatuhan DevSecOps.
Penganalisis Risiko Kode dapat dikonfigurasi untuk dijalankan saat startup dari pipeline kode developer dan pemeriksaan dan mengurai repositori Git mencari masalah diketahui kode sumber terbuka apa pun yang perlu dikelola.
Membantu menyediakan rantai alat, mengotomatiskan pembuatan dan pengujian, dan memungkinkan pengguna untuk mengontrol kualitas perangkat lunak dengan analitik, menurut perusahaan.
Tujuan dari penganalisis kode adalah mengizinkan tim aplikasi mengidentifikasi ancaman keamanan siber, memprioritaskan masalah keamanan yang dapat mempengaruhi aplikasi, dan menyelesaikan masalah keamanan.
Steven Weaver dari IBM mengatakan dalam sebuah posting:
“Mengurangi risiko penyematan kerentanan dalam kode Anda sangat penting untuk pengembangan yang sukses. Karena teknologi native open source, container, dan cloud menjadi lebih umum dan penting, memindahkan pemantauan dan pengujian lebih awal dalam siklus pengembangan dapat menghemat waktu dan uang.
“Hari ini, IBM dengan bangga mengumumkan Code Risk Analyzer, fitur baru dari IBM Cloud Continuous Delivery. Dikembangkan sehubungan dengan proyek IBM Research dan umpan balik pelanggan, Code Risk Analyzer memungkinkan pengembang seperti Anda untuk dengan cepat menilai dan mengoreksi segala risiko hukum dan keamanan yang berpotensi menyusup ke kode sumber Anda dan memberikan umpan balik langsung ke dalam kode sumber Anda. Artefak Git (misalnya, permintaan tarik / penggabungan). Code Risk Analyzer disediakan sebagai serangkaian tugas Tekton, yang dapat dengan mudah digabungkan ke dalam saluran pengiriman Anda. ”
Code Risk Analyzer menyediakan fungsionalitas berikut untuk memindai repositori sumber berdasarkan IBM Cloud Continuous Delivery Git dan Issue Tracking (GitHub) mencari kerentanan yang diketahui.
Kemampuan termasuk menemukan kerentanan dalam aplikasi Anda (Python, Node.js, Java) dan tumpukan sistem operasi (gambar dasar) berdasarkan kecerdasan ancaman kaya Snyk. dan Clear, serta memberikan rekomendasi perbaikan.
IBM telah bermitra dengan Snyk untuk mengintegrasikan cakupannya Alat keamanan komprehensif untuk membantu Anda secara otomatis menemukan, memprioritaskan, dan memperbaiki kerentanan dalam wadah dan ketergantungan sumber terbuka di awal alur kerja Anda.
Basis Data Kerentanan Intel Snyk terus-menerus dikuratori oleh tim peneliti keamanan Snyk yang berpengalaman untuk memungkinkan tim menjadi efektif secara optimal dalam menangani masalah keamanan sumber terbuka, sambil tetap fokus pada pengembangan.
Clair adalah proyek open source untuk analisis statis kerentanan dalam wadah aplikasi. Karena Anda memindai gambar menggunakan analisis statis, Anda dapat menganalisis gambar tanpa harus menjalankan penampung Anda.
Code Risk Analyzer dapat mendeteksi kesalahan konfigurasi di file penerapan Kubernetes Anda berdasarkan standar industri dan praktik terbaik komunitas.
Penganalisis Risiko Kode menghasilkan nomenklatur (BoM) A yang mewakili semua dependensi dan sumbernya untuk aplikasi. Selain itu, fungsi BoM-Diff memungkinkan Anda membandingkan perbedaan dalam setiap dependensi dengan cabang dasar di kode sumber.
Meskipun solusi sebelumnya berfokus pada berjalan di awal pipeline kode developer, solusi tersebut terbukti tidak efektif karena gambar container telah direduksi ke tempat berisi muatan minimum yang diperlukan untuk menjalankan aplikasi dan gambar tersebut tidak memiliki konteks pengembangan aplikasi. .
Untuk artefak aplikasi, Code Risk Analyzer bertujuan untuk memberikan pemeriksaan kerentanan, lisensi, dan CIS pada konfigurasi penerapan, menghasilkan BOM, dan melakukan pemeriksaan keamanan.
File Terraform (* .tf) yang digunakan untuk menyediakan atau mengonfigurasi layanan cloud seperti Cloud Object Store dan LogDNA juga dianalisis untuk mengidentifikasi kesalahan konfigurasi keamanan.
sumber: https://www.ibm.com