IBM ha annunciato la disponibilità di Code Risk Analyzer nel tuo servizio IBM Cloud Continuous Delivery, una funzione per fornire sviluppatori Analisi di sicurezza e conformità DevSecOps.
Analizzatore di rischio del codice può essere configurato per essere eseguito all'avvio dalla pipeline di codice di uno sviluppatore ed esamina e analizza i repository Git in cerca di guai noto a qualsiasi codice open source che deve essere gestito.
Aiuta a fornire toolchain, automatizza build e test, e consente agli utenti di monitorare la qualità del software con analisi, secondo l'azienda.
L'obiettivo dell'analizzatore di codice è consentire ai team dell'applicazione identificare le minacce alla sicurezza informatica, assegnare la priorità ai problemi di sicurezza che possono influire sulle applicazioni e risolvere i problemi di sicurezza.
Steven Weaver di IBM ha detto in un post:
“Ridurre il rischio di incorporare vulnerabilità nel codice è fondamentale per uno sviluppo di successo. Man mano che le tecnologie native open source, container e cloud diventano più comuni e importanti, spostare il monitoraggio e i test nelle prime fasi del ciclo di sviluppo può far risparmiare tempo e denaro.
“Oggi, IBM è lieta di annunciare Code Risk Analyzer, una nuova funzionalità di IBM Cloud Continuous Delivery. Sviluppato insieme ai progetti di ricerca IBM e al feedback dei clienti, Code Risk Analyzer consente agli sviluppatori come te di valutare e correggere rapidamente eventuali rischi legali e di sicurezza che si sono potenzialmente infiltrati nel tuo codice sorgente e fornire feedback direttamente nel tuo codice. Artefatti Git (ad esempio, richieste pull / merge). Code Risk Analyzer viene fornito come un insieme di attività Tekton, che possono essere facilmente incorporate nei canali di distribuzione ".
Code Risk Analyzer fornisce le seguenti funzionalità a scansiona i repository di origine in base a IBM Cloud Continuous Delivery Git e Issue Tracking (GitHub) alla ricerca di vulnerabilità note.
Le funzionalità includono la scoperta delle vulnerabilità nella tua applicazione (Python, Node.js, Java) e nello stack del sistema operativo (immagine di base) in base alla ricca intelligence sulle minacce di Snyk. e Clear e fornisce consigli per la riparazione.
IBM ha collaborato con Snyk per integrare la sua copertura Software di sicurezza completo per aiutarti a trovare, assegnare priorità e correggere automaticamente le vulnerabilità nei contenitori e nelle dipendenze open source nelle prime fasi del tuo flusso di lavoro.
Il database delle vulnerabilità di Snyk Intel è continuamente curato da un team di ricerca sulla sicurezza Snyk esperto per consentire ai team di essere efficienti in modo ottimale nel contenere i problemi di sicurezza open source, pur rimanendo concentrati sullo sviluppo.
Clair è un progetto open source per l'analisi statica vulnerabilità nei contenitori delle applicazioni. Poiché esegui la scansione delle immagini utilizzando l'analisi statica, puoi analizzare le immagini senza eseguire il contenitore.
Code Risk Analyzer è in grado di rilevare gli errori di configurazione nei file di distribuzione di Kubernetes in base agli standard di settore e alle best practice della community.
Analizzatore di rischio del codice generare una nomenclatura (distinta base) A che rappresenta tutte le dipendenze e le relative origini per le applicazioni. Inoltre, la funzione BoM-Diff consente di confrontare le differenze in qualsiasi dipendenza con i rami di base nel codice sorgente.
Sebbene le soluzioni precedenti si concentrassero sull'esecuzione all'inizio della pipeline di codice di uno sviluppatore, si sono dimostrate inefficaci perché le immagini del contenitore sono state ridotte al punto in cui contengono il carico utile minimo richiesto per eseguire un'applicazione e le immagini non hanno il contesto di sviluppo di un'applicazione .
Per gli artefatti dell'applicazione, Code Risk Analyzer mira a fornire controlli di vulnerabilità, licenza e CIS sulle configurazioni di distribuzione, generare BOM ed eseguire controlli di sicurezza.
I file Terraform (* .tf) utilizzati per il provisioning o la configurazione di servizi cloud come Cloud Object Store e LogDNA vengono anche analizzati per identificare gli errori di configurazione della sicurezza.
fonte: https://www.ibm.com