IBM heeft de beschikbaarheid van Code Risk Analyzer aangekondigd in uw IBM Cloud Continuous Delivery-service, een functie voor bieden ontwikkelaars DevSecOps-analyse van beveiliging en naleving.
Code Risico Analyzer kan worden geconfigureerd om te worden uitgevoerd bij het opstarten uit de codepijplijn van een ontwikkelaar en onderzoekt en parseert de Git-opslagplaatsen op zoek naar problemen bekend bij elke open source-code die moet worden beheerd.
Helpt bij het leveren van toolchains, automatiseren van builds en tests, en stelt gebruikers in staat om de kwaliteit van de software te controleren met analyses, aldus het bedrijf.
Het doel van de code-analysator is om applicatieteams toe te staan Identificeer cyberbeveiligingsbedreigingen, prioriteit geven aan beveiligingsproblemen die van invloed kunnen zijn op applicaties, en beveiligingsproblemen oplossen.
IBM's Steven Weaver zei in een post:
“Het verkleinen van het risico van het inbedden van kwetsbaarheden in uw code is essentieel voor een succesvolle ontwikkeling. Naarmate native open source-, container- en cloudtechnologieën steeds gebruikelijker en belangrijker worden, kan het verplaatsen van monitoring en testen eerder in de ontwikkelingscyclus tijd en geld besparen.
“Vandaag is IBM verheugd Code Risk Analyzer aan te kondigen, een nieuwe functie van IBM Cloud Continuous Delivery. Code Risk Analyzer, ontwikkeld in samenwerking met IBM Research-projecten en feedback van klanten, stelt ontwikkelaars zoals u in staat om snel juridische en veiligheidsrisico's die mogelijk in uw broncode zijn geïnfiltreerd, te beoordelen en corrigeren en rechtstreeks feedback te geven in uw code. Git-artefacten (bijvoorbeeld pull / merge-verzoeken). Code Risk Analyzer wordt geleverd als een set Tekton-taken die eenvoudig in uw leveringskanalen kunnen worden opgenomen. "
Code Risk Analyzer biedt de volgende functionaliteit aan scan bronopslagplaatsen op basis van IBM Cloud Continuous Delivery Git en Issue Tracking (GitHub) op zoek naar bekende kwetsbaarheden.
Mogelijkheden omvatten het ontdekken van kwetsbaarheden in uw applicatie (Python, Node.js, Java) en de besturingssysteemstack (basisimage) op basis van Snyks rijke dreigingsinformatie. en Clear, en geeft aanbevelingen voor herstel.
IBM werkt samen met Snyk om zijn dekking te integreren Uitgebreide beveiligingssoftware om u te helpen automatisch kwetsbaarheden in open source-containers en afhankelijkheden vroeg in uw workflow te vinden, prioriteren en verhelpen.
De Snyk Intel Vulnerability Database wordt continu beheerd door een ervaren Snyk-beveiligingsonderzoeksteam om teams in staat te stellen optimaal effectief te zijn in het beheersen van open source-beveiligingsproblemen, terwijl ze tegelijkertijd gefocust blijven op ontwikkeling.
Clair is een open source-project voor statische analyse kwetsbaarheden in applicatiecontainers. Omdat u afbeeldingen scant met behulp van statische analyse, kunt u afbeeldingen analyseren zonder dat u uw container hoeft uit te voeren.
Code Risk Analyzer kan configuratiefouten detecteren in uw Kubernetes-implementatiebestanden op basis van industriestandaarden en best practices uit de gemeenschap.
Code Risico Analyzer genereert een nomenclatuur (BoM) A die alle afhankelijkheden en hun bronnen voor applicaties weergeeft. Ook stelt de BoM-Diff-functie je in staat om de verschillen in eventuele afhankelijkheden te vergelijken met de basisvertakkingen in de broncode.
Terwijl de vorige oplossingen zich concentreerden op het draaien aan het begin van de codepijplijn van een ontwikkelaar, zijn ze niet effectief gebleken omdat container-images zijn teruggebracht tot waar ze de minimale payload bevatten die nodig is om een applicatie uit te voeren en de images hebben niet de ontwikkelingscontext van een applicatie.
Voor toepassingsartefacten beoogt Code Risk Analyzer kwetsbaarheids-, licentie- en CIS-controles op implementatieconfiguraties te bieden, stuklijsten te genereren en beveiligingscontroles uit te voeren.
Terraform-bestanden (* .tf) die worden gebruikt om cloudservices zoals Cloud Object Store en LogDNA te leveren of configureren, worden ook geanalyseerd om beveiligingsconfiguratiefouten te identificeren.
bron: https://www.ibm.com