IBM은 Code Risk Analyzer의 가용성을 발표했습니다. IBM Cloud Continuous Delivery 서비스에서 기능 개발자에게 제공 DevSecOps 보안 및 규정 준수 분석.
코드 위험 분석기 시작시 실행되도록 구성 할 수 있습니다. 개발자의 코드 파이프 라인에서 Git 저장소를 구문 분석합니다. 문제를 찾고 관리해야하는 모든 오픈 소스 코드에 알려져 있습니다.
툴체인 제공, 빌드 및 테스트 자동화, 회사에 따르면 사용자는 분석을 통해 소프트웨어의 품질을 제어 할 수 있습니다.
코드 분석기의 목표 응용 프로그램 팀을 허용하는 것입니다 사이버 보안 위협 식별, 애플리케이션에 영향을 미칠 수있는 보안 문제의 우선 순위를 지정하고 보안 문제를 해결합니다.
IBM의 Steven Weaver는 게시물에서 다음과 같이 말했습니다.
“코드에 취약점을 포함시킬 위험을 줄이는 것은 성공적인 개발에 매우 중요합니다. 네이티브 오픈 소스, 컨테이너 및 클라우드 기술이 더욱 보편화되고 중요 해짐에 따라 개발주기 초기에 모니터링 및 테스트를 이동하면 시간과 비용을 절약 할 수 있습니다.
“오늘 IBM은 IBM Cloud Continuous Delivery의 새로운 기능인 Code Risk Analyzer를 발표하게되어 기쁘게 생각합니다. IBM Research 프로젝트 및 고객 피드백과 함께 개발 된 Code Risk Analyzer를 사용하면 개발자와 같은 개발자가 소스 코드에 잠재적으로 침투 한 법적 및 보안 위험을 신속하게 평가하고 수정할 수 있으며 코드에 직접 피드백을 제공 할 수 있습니다. Git 아티팩트 (예 : 가져 오기 / 병합 요청). Code Risk Analyzer는 전달 채널에 쉽게 통합 될 수있는 Tekton 작업 세트로 제공됩니다.”
Code Risk Analyzer는 다음과 같은 기능을 제공합니다. IBM Cloud Continuous Delivery Git을 기반으로 소스 저장소 스캔 알려진 취약점을 찾는 문제 추적 (GitHub).
기능에는 Snyk의 풍부한 위협 인텔리전스를 기반으로하는 애플리케이션 (Python, Node.js, Java) 및 운영 체제 스택 (기본 이미지)의 취약성 검색이 포함됩니다. 및 지우기, 수정 권장 사항을 제공합니다.
IBM은 Snyk와 제휴하여 범위를 통합했습니다. 워크 플로 초기에 오픈 소스 컨테이너 및 종속성의 취약성을 자동으로 찾고, 우선 순위를 지정하고, 수정하는 데 도움이되는 포괄적 인 보안 도구입니다.
Snyk Intel Vulnerability Database는 숙련 된 Snyk 보안 연구 팀이 지속적으로 큐레이팅하여 팀이 개발에 집중하면서 오픈 소스 보안 문제를 효과적으로 억제 할 수 있도록합니다.
Clair는 정적 분석을위한 오픈 소스 프로젝트입니다. 애플리케이션 컨테이너의 취약성. 정적 분석을 사용하여 이미지를 스캔하기 때문에 컨테이너를 실행하지 않고도 이미지를 분석 할 수 있습니다.
Code Risk Analyzer는 구성 오류를 감지 할 수 있습니다. 업계 표준 및 커뮤니티 모범 사례를 기반으로 Kubernetes 배포 파일에서.
코드 위험 분석기 명명법을 생성 (봄) 응용 프로그램에 대한 모든 종속성 및 해당 소스를 나타냅니다. 또한 BoM-Diff 함수를 사용하면 소스 코드의 기본 분기와 종속성의 차이를 비교할 수 있습니다.
이전 솔루션은 개발자의 코드 파이프 라인 시작 부분에서 실행하는 데 중점을 두었지만 컨테이너 이미지가 애플리케이션을 실행하는 데 필요한 최소 페이로드를 포함하고 이미지에 애플리케이션의 개발 컨텍스트가없는 위치로 축소 되었기 때문에 비효율적임이 입증되었습니다. .
애플리케이션 아티팩트의 경우 Code Risk Analyzer는 배포 구성에 대한 취약성, 라이선싱 및 CIS 검사를 제공하고 BOM을 생성하며 보안 검사를 수행하는 것을 목표로합니다.
Cloud Object Store 및 LogDNA와 같은 클라우드 서비스를 프로비저닝하거나 구성하는 데 사용되는 Terraform 파일 (* .tf)도 분석되어 보안 구성 오류를 식별합니다.
출처 : https://www.ibm.com