IBM pranešė apie kodo rizikos analizatoriaus prieinamumą savo „IBM Cloud“ nuolatinio pristatymo tarnyboje, funkcija teikti kūrėjams „DevSecOps“ saugumo ir atitikties analizė.
Kodo rizikos analizatorius gali būti sukonfigūruotas paleisti paleidus iš kūrėjo kodo ir nagrinėja ir analizuoja „Git“ saugyklas ieško bėdų žinoma visiems atvirojo kodo kodams, kuriuos reikia valdyti.
Padeda pateikti įrankių grandines, automatizuoti versijas ir bandymus, ir leidžia vartotojams kontroliuoti programinės įrangos kokybę naudojant analizę, pasak bendrovės.
Kodo analizatoriaus tikslas yra leisti paraiškų grupėms nustatyti kibernetinio saugumo grėsmes, nustatykite prioritetus saugos problemoms, kurios gali paveikti programas, ir išspręskite saugos problemas.
IBM Stevenas Weaveris savo pranešime sakė:
„Sėkmingam kūrimui labai svarbu sumažinti riziką įterpti kodą į pažeidžiamumą. Kai vietinės atvirojo kodo, talpyklų ir debesų technologijos tampa vis dažnesnės ir svarbesnės, perkėlus stebėjimą ir testavimą anksčiau kūrimo ciklo, galima sutaupyti laiko ir pinigų.
„Šiandien IBM džiaugiasi galėdama paskelbti„ Code Risk Analyzer “, naują„ IBM Cloud Continuous Delivery “funkciją. Sukurtas kartu su „IBM Research“ projektais ir klientų atsiliepimais, „Code Risk Analyzer“ leidžia tokiems kūrėjams kaip jūs greitai įvertinti ir ištaisyti bet kokią teisinę ir saugumo riziką, kuri galbūt įsiskverbė į jūsų šaltinio kodą, ir pateikti atsiliepimus tiesiai į jūsų kodą. „Git“ artefaktai (pavyzdžiui, traukimo / sujungimo užklausos). Kodo rizikos analizatorius pateikiamas kaip „Tekton“ užduočių rinkinys, kurį galima lengvai įtraukti į jūsų pristatymo kanalus “.
Kodo rizikos analizatorius teikia šias funkcijas nuskaityti šaltinio saugyklas, pagrįstas „IBM Cloud Continuous Delivery Git“ ir problemų stebėjimas („GitHub“), ieškant žinomų pažeidžiamumų.
Gebėjimai apima jūsų programos („Python“, „Node.js“, „Java“) ir operacinės sistemos kamino (pagrindinio vaizdo) pažeidžiamumų nustatymą, pagrįstą turtingu Snyko grėsmių intelektu. „Clear and Clear“ ir teikia ištaisymo rekomendacijas.
IBM bendradarbiavo su „Snyk“, kad integruotų jo aprėptį Išsamūs saugos įrankiai, padėsiantys anksti darbo eigoje automatiškai rasti, nustatyti prioritetus ir ištaisyti atvirojo kodo sudėtinių rodinių ir priklausomybių spragas.
„Snyk Intel“ pažeidžiamumo duomenų bazę nuolat kuruoja patyrusi „Snyk“ saugumo tyrimų grupė, kad komandos galėtų optimaliai efektyviai spręsti atvirojo kodo saugumo problemas, tačiau ir toliau sutelkti dėmesį į plėtrą.
Clairas yra atviro kodo statinės analizės projektas programų konteinerių pažeidžiamumas. Kadangi vaizdus nuskaitote naudodami statinę analizę, galite analizuoti vaizdus nepaleisdami savo talpyklos.
Kodo rizikos analizatorius gali aptikti konfigūracijos klaidas „Kubernetes“ diegimo failuose, remiantis pramonės standartais ir bendruomenės geriausia praktika.
Kodo rizikos analizatorius generuoja nomenklatūrą (BoM) A, kuris nurodo visas priklausomybes ir jų šaltinius. Be to, „BoM-Diff“ funkcija leidžia palyginti bet kokių priklausomybių skirtumus su pagrindinio šakos šaltinio kode.
Nors ankstesni sprendimai buvo nukreipti į kūrėjo kodo eigą, jie pasirodė neveiksmingi, nes konteinerio vaizdai buvo sumažinti iki tos vietos, kur yra minimali naudingoji apkrova, reikalinga programai paleisti, o vaizduose nėra programos kūrimo konteksto .
Programos artefaktams „Code Risk Analyzer“ siekiama užtikrinti pažeidžiamumą, licencijavimą ir CIS patikras diegimo konfigūracijoms, sugeneruoti BOM ir atlikti saugumo patikrinimus.
Taip pat analizuojami „Terraform“ failai (* .tf), naudojami teikiant arba konfigūruojant debesijos paslaugas, pvz., „Cloud Object Store“ ir „LogDNA“.
Fuente: https://www.ibm.com