IBM mengumumkan ketersediaan Code Risk Analyzer dalam perkhidmatan Penghantaran Berterusan Awan IBM anda, fungsi untuk sediakan pemaju Analisis keselamatan dan pematuhan DevSecOps.
Penganalisis Risiko Kod boleh dikonfigurasi untuk dijalankan pada permulaan dari saluran paip pemaju dan meneliti dan menguraikan repositori Git mencari masalah diketahui oleh mana-mana kod sumber terbuka yang perlu diuruskan.
Membantu menyediakan rantai alat, membina dan menguji automatik, dan membolehkan pengguna memantau kualiti perisian dengan analisis, menurut syarikat itu.
Matlamat penganalisis kod adalah untuk membenarkan pasukan aplikasi mengenal pasti ancaman keselamatan siber, utamakan masalah keselamatan yang boleh mempengaruhi aplikasi, dan selesaikan masalah keselamatan.
Steven Weaver dari IBM berkata dalam satu catatan:
"Mengurangkan risiko menanamkan kerentanan dalam kod anda sangat penting untuk kejayaan pembangunan. Oleh kerana teknologi sumber asli, kontena, dan awan menjadi lebih umum dan penting, pemantauan dan pengujian yang bergerak lebih awal dalam kitaran pembangunan dapat menjimatkan masa dan wang.
“Hari ini, IBM dengan sukacitanya mengumumkan Code Risk Analyzer, ciri baru IBM Cloud Continuous Delivery. Dibangunkan bersama dengan projek IBM Research dan maklum balas pelanggan, Code Risk Analyzer membolehkan pembangun seperti anda untuk menilai dan memperbaiki sebarang risiko undang-undang dan keselamatan yang berpotensi menyusup kod sumber anda dan memberikan maklum balas terus ke dalam kod anda. Artifak Git (misalnya, permintaan tarik / gabungkan). Code Risk Analyzer disediakan sebagai satu set tugas Tekton, yang dapat dengan mudah dimasukkan ke dalam saluran penghantaran anda. "
Code Risk Analyzer menyediakan fungsi berikut untuk scan sumber repositori berdasarkan IBM Cloud Continuous Delivery Git dan Penjejakan Masalah (GitHub) mencari kelemahan yang diketahui.
Keupayaan termasuk mengetahui kerentanan dalam aplikasi anda (Python, Node.js, Java) dan timbunan sistem operasi (gambar asas) berdasarkan kecerdasan ancaman kaya Snyk. dan Jelas, dan memberikan cadangan pemulihan.
IBM telah bekerjasama dengan Snyk untuk mengintegrasikan liputannya Alat keselamatan yang komprehensif untuk membantu anda mencari, mengutamakan, dan memperbaiki kerentanan secara automatik dalam bekas sumber terbuka dan kebergantungan pada awal aliran kerja anda.
Pangkalan Data Kerentanan Intel Snyk terus dikendalikan oleh pasukan penyelidikan keselamatan Snyk yang berpengalaman untuk membolehkan pasukan berkesan secara efektif dalam membendung masalah keselamatan sumber terbuka, sambil tetap fokus pada pembangunan.
Clair adalah projek sumber terbuka untuk analisis statik kerentanan dalam bekas aplikasi. Kerana anda mengimbas gambar menggunakan analisis statik, anda dapat menganalisis gambar tanpa perlu menjalankan bekas anda.
Code Risk Analyzer dapat mengesan kesalahan konfigurasi dalam fail penyebaran Kubernetes anda berdasarkan standard industri dan amalan terbaik masyarakat.
Penganalisis Risiko Kod menghasilkan tatanama (BoM) A yang mewakili semua kebergantungan dan sumbernya untuk aplikasi. Fungsi BoM-Diff juga membolehkan anda membandingkan perbezaan kebergantungan dengan cabang asas dalam kod sumber.
Walaupun penyelesaian sebelumnya difokuskan untuk dijalankan pada awal saluran kod pemaju, mereka terbukti tidak berkesan kerana gambar kontena telah dikurangkan ke tempat yang mengandungi muatan minimum yang diperlukan untuk menjalankan aplikasi dan gambar tidak mempunyai konteks pengembangan aplikasi .
Untuk artifak aplikasi, Code Risk Analyzer bertujuan untuk memberikan kerentanan, lesen, dan pemeriksaan CIS pada konfigurasi penyebaran, menghasilkan BOM, dan melakukan pemeriksaan keselamatan.
Fail terraform (* .tf) yang digunakan untuk menyediakan atau mengkonfigurasi perkhidmatan awan seperti Cloud Object Store dan LogDNA juga dianalisis untuk mengenal pasti kesalahan konfigurasi keselamatan.
Fuente: https://www.ibm.com