IBM paziņoja par Code Risk Analyzer pieejamību savā IBM mākoņa nepārtrauktās piegādes pakalpojumā, funkcija priekš nodrošināt izstrādātājiem DevSecOps drošības un atbilstības analīze.
Kodu riska analizators var konfigurēt, lai palaistu startēšanas laikā no izstrādātāja koda cauruļvada un pārbauda un parsē Git krātuves meklē nepatikšanas zināms jebkuram atvērtā pirmkoda kodam, kas jāpārvalda.
Palīdz nodrošināt rīku ķēdes, automatizēt būvējumus un testus, un ļauj lietotājiem kontrolēt programmatūras kvalitāti, izmantojot analīzi, norāda uzņēmums.
Kodu analizatora mērķis ir atļaut lietojumprogrammu komandām identificēt kiberdrošības draudus, nosakiet prioritātes drošības jautājumiem, kas var ietekmēt lietojumprogrammas, un atrisiniet drošības problēmas.
IBM Stīvens Vīvers savā ziņojumā teica:
“Veiksmīgai izstrādei ir kritiski svarīgi samazināt ievainojamību kodā. Tā kā vietējās atvērtā koda, konteineru un mākoņu tehnoloģijas kļūst arvien izplatītākas un nozīmīgākas, pārraides un testēšanas pārcelšana agrāk attīstības ciklā var ietaupīt laiku un naudu.
“Šodien IBM ar prieku paziņo par Code Risk Analyzer, jaunu IBM mākoņu nepārtrauktas piegādes funkciju. Izstrādāts kopā ar IBM izpētes projektiem un klientu atsauksmēm, Code Risk Analyzer ļauj tādiem izstrādātājiem kā jūs ātri novērtēt un novērst visus juridiskos un drošības riskus, kas potenciāli ir iefiltrējušies jūsu pirmkodā, un sniegt atgriezenisko saiti tieši jūsu kodā. Git artefakti (piemēram, vilkšanas / apvienošanas pieprasījumi). Kodu riska analizators ir pieejams kā Tekton uzdevumu kopums, kurus var viegli iekļaut jūsu piegādes kanālos. ”
Kodu riska analizators nodrošina šādu funkcionalitāti: skenēt avotu krātuves, pamatojoties uz IBM Cloud Continuous Delivery Git un problēmu izsekošana (GitHub), meklējot zināmas ievainojamības.
Iespējas ietver jūsu lietojumprogrammas (Python, Node.js, Java) un operētājsistēmas kaudzes (bāzes attēla) ievainojamību atklāšanu, pamatojoties uz Snyk bagātīgo draudu izlūkošanu. un Skaidrs, un sniedz ieteikumus par sanāciju.
IBM ir sadarbojies ar Snyk, lai integrētu tā pārklājumu Visaptveroši drošības rīki, kas ļauj darbplūsmas sākumā automātiski atrast, noteikt prioritātes un novērst ievainojamības atvērtā pirmkoda konteineros un atkarībās.
Snyk Intel ievainojamības datu bāzi pastāvīgi kurē pieredzējusi Snyk drošības pētījumu grupa, lai komandas varētu optimāli efektīvi atklātā pirmkoda drošības jautājumos, vienlaikus koncentrējoties uz attīstību.
Clair ir atvērtā koda projekts statiskai analīzei ievainojamības lietojumprogrammu konteineros. Tā kā jūs skenējat attēlus, izmantojot statisko analīzi, varat tos analizēt, nedarbinot konteineru.
Kodu riska analizators var atklāt konfigurācijas kļūdas Kubernetes izvietošanas failos, pamatojoties uz nozares standartiem un kopienas labāko praksi.
Kodu riska analizators ģenerē nomenklatūru (BoM) A, kas apzīmē visas atkarības un to pielietojuma avotus. Arī funkcija BoM-Diff ļauj salīdzināt atšķirības visās atkarībās ar bāzes zariem avota kodā.
Lai gan iepriekšējie risinājumi koncentrējās uz palaišanu izstrādātāja kodu cauruļvada sākumā, tie ir izrādījušies neefektīvi, jo konteinera attēli ir samazināti līdz vietai, kur tie satur minimālo lietderīgo slodzi, kas nepieciešama lietojumprogrammas darbināšanai, un attēliem nav lietojumprogrammas attīstības konteksta. .
Attiecībā uz lietojumprogrammu artefaktiem Code Risk Analyzer mērķis ir nodrošināt ievainojamības, licencēšanas un MIS pārbaudes izvietošanas konfigurācijās, ģenerēt BOM un veikt drošības pārbaudes.
Lai identificētu drošības konfigurācijas kļūdas, tiek analizēti arī terraform faili (* .tf), kurus izmanto, lai nodrošinātu vai konfigurētu mākoņpakalpojumus, piemēram, Cloud Object Store un LogDNA.
Fuente: https://www.ibm.com