יבמ הודיעה על זמינותו של Code Risk Analyzer בשירות המסירה הרציפה שלך בענן של IBM, פונקציה עבור לספק למפתחים DevSecOps ניתוח אבטחה ותאימות.
מנתח סיכון קוד ניתן להגדיר כך שיפעל בעת ההפעלה מצינור הקוד של מפתח ובודק ומנתח את מאגרי Git מחפש צרות ידוע לכל קוד קוד פתוח שצריך לנהל.
עוזר לספק שרשראות כלים, בונה ובדיקות אוטומטי, ומאפשר למשתמשים לשלוט על איכות התוכנה באמצעות ניתוח, על פי החברה.
המטרה של מנתח הקוד הוא לאפשר לצוותי יישומים לזהות איומי אבטחה ברשת, לתעדף בעיות אבטחה שיכולות להשפיע על יישומים, ולפתור בעיות אבטחה.
סטיבן וויבר של יבמ אמר בפוסט:
"הפחתת הסיכון להטמעת נקודות תורפה בקוד שלך היא קריטית לפיתוח מוצלח. ככל שטכנולוגיות קוד פתוח מקורי, מכולות וענן הופכות לנפוצות וחשובות יותר, ניטור ובדיקה נעים מוקדם יותר במחזור הפיתוח יכולים לחסוך זמן וכסף.
"כיום, IBM שמחה להכריז על Code Risk Analyzer, תכונה חדשה של IBM Cloud Continuous Delivery. Code Risk Analyzer שפותח בשילוב עם פרויקטים של IBM Research ומשוב לקוחות, ומאפשר למפתחים כמוך להעריך ולתקן במהירות את כל הסיכונים החוקיים והביטחוניים שעלולים לחדור לקוד המקור שלך ולספק משוב ישירות לקוד שלך. חפצים של Git (למשל, בקשות משיכה / מיזוג). Code Risk Analyzer מסופק כמערכת של משימות Tekton, שניתן לשלב בקלות בערוצי המסירה שלך. "
מנתח סיכון קוד מספק את הפונקציונליות הבאה ל- סריקת מאגרי מקור המבוססים על IBM Cloud Continuous Delivery Git ומעקב אחר נושאים (GitHub) המחפש פרצות ידועות.
יכולות כוללות גילוי נקודות תורפה ביישום שלך (Python, Node.js, Java) וערימת מערכות ההפעלה (תמונת בסיס) בהתבסס על מודיעין האיומים העשיר של Snyk. וברור, ומספק המלצות לתיקון.
יבמ שותפה עם Snyk כדי לשלב את הכיסוי שלה תוכנת אבטחה מקיפה שתעזור לך למצוא, לתעדף ולתקן פגיעויות באופן אוטומטי במכולות קוד פתוח ותלות בתחילת העבודה שלך.
מאגר הפגיעויות של Snyk אינטל אוצר ללא הרף על ידי צוות מחקר אבטחה מנוסה של Snyk, כדי לאפשר לצוותים להיות יעילים בצורה אופטימלית בהכנת בעיות אבטחה בקוד פתוח, תוך שמירה על התמקדות בפיתוח.
קלייר הוא פרויקט קוד פתוח לניתוח סטטי פגיעויות במיכלי יישומים. מכיוון שאתה סורק תמונות באמצעות ניתוח סטטי, אתה יכול לנתח תמונות מבלי שתצטרך להריץ את המכולה שלך.
Code Risk Analyzer יכול לזהות שגיאות תצורה בקבצי הפריסה שלך ב- Kubernetes בהתבסס על סטנדרטים בתעשייה ושיטות עבודה מומלצות לקהילה.
מנתח סיכון קוד מייצר מינוח (BoM) A המייצג את כל התלות ומקורותיהם ליישומים. כמו כן, פונקציית BoM-Diff מאפשרת לך להשוות את ההבדלים בכל תלות עם ענפי הבסיס בקוד המקור.
בעוד שפתרונות קודמים התמקדו בהפעלה בתחילת צינור הקוד של מפתח, הם הוכיחו שהם לא יעילים מכיוון שתמונות מיכל קוצרו למקום בו הן מכילות את מטען המינימום הנדרש להפעלת יישום ולתמונות אין הקשר פיתוח של יישום.
עבור חפצים של יישומים, Code Risk Analyzer שואף לספק בדיקות פגיעות, רישוי וביטול חבר העמים בתצורות הפריסה, ליצור BOMs ולבצע בדיקות אבטחה.
קבצי Terraform (* .tf) המשמשים לספק או להגדיר שירותי ענן כמו Cloud Object Store ו- LogDNA מנותחים גם הם כדי לזהות שגיאות בתצורת אבטחה.
מקור: https://www.ibm.com