IBM kunngjorde tilgjengeligheten av Code Risk Analyzer i IBM Cloud Continuous Delivery-tjenesten, en funksjon for gi utviklere DevSecOps sikkerhets- og complianceanalyse.
Koderisikoanalysator kan konfigureres til å kjøre ved oppstart fra en utviklers kodeledning og undersøker og analyserer Git-arkivene leter etter problemer kjent for åpen kildekode som må administreres.
Hjelper med å tilby verktøykjeder, automatisere bygg og tester, og lar brukerne overvåke kvaliteten på programvaren med analyse, ifølge selskapet.
Målet med kodeanalysatoren er å tillate søknadsteam identifisere cybersikkerhetstrusler, prioritere sikkerhetsproblemer som kan påvirke applikasjoner, og løse sikkerhetsproblemer.
IBMs Steven Weaver sa i et innlegg:
“Å redusere risikoen for å legge inn sårbarheter i koden din er avgjørende for vellykket utvikling. Som innfødt åpen kildekode, container- og skyteknologi blir vanligere og viktigere. Flyttende overvåking og testing tidligere i utviklingssyklusen kan spare tid og penger.
“I dag er IBM glade for å kunngjøre Code Risk Analyzer, en ny funksjon i IBM Cloud Continuous Delivery. Code Risk Analyzer er utviklet i forbindelse med IBM Research-prosjekter og tilbakemeldinger fra kunder, og gjør det mulig for utviklere som deg å raskt vurdere og korrigere eventuelle juridiske og sikkerhetsmessige risikoer som potensielt har infiltrert kildekoden din og gi tilbakemelding direkte i koden din. Git-gjenstander (for eksempel trekk / slå sammen forespørsler). Code Risk Analyzer tilbys som et sett med Tekton-oppgaver, som enkelt kan innlemmes i leveringskanalene dine. ”
Code Risk Analyzer gir følgende funksjonalitet til skann kildelager basert på IBM Cloud Continuous Delivery Git og Issue Tracking (GitHub) på jakt etter kjente sårbarheter.
Funksjoner inkluderer å oppdage sårbarheter i applikasjonen din (Python, Node.js, Java) og operativsystemstakken (basisbilde) basert på Snyk's rike trusselintelligens. og Clear, og gir utbedringsanbefalinger.
IBM har inngått et samarbeid med Snyk for å integrere dekningen Omfattende sikkerhetsverktøy som hjelper deg med å automatisk finne, prioritere og fikse sårbarheter i åpen kildekode-containere og avhengigheter tidlig i arbeidsflyten.
Snyk Intel Vulnerability Database blir kontinuerlig kuratert av et erfaren Snyk-sikkerhetsteam for å gjøre det mulig for team å være optimalt effektive når det gjelder å inneholde sikkerhetsproblemer med åpen kildekode, mens de holder fokus på utvikling.
Clair er et open source-prosjekt for statisk analyse sårbarheter i applikasjonsbeholdere. Fordi du skanner bilder ved hjelp av statisk analyse, kan du analysere bilder uten å måtte kjøre beholderen din.
Code Risk Analyzer kan oppdage konfigurasjonsfeil i Kubernetes-distribusjonsfiler basert på bransjestandarder og beste praksis.
Koderisikoanalysator genererer en nomenklatur (BoM) A som representerer alle avhengigheter og deres kilder for applikasjoner. I tillegg lar BoM-Diff-funksjonen deg sammenligne forskjellene i eventuelle avhengigheter med basegrenene i kildekoden.
Mens tidligere løsninger fokuserte på å kjøre i begynnelsen av en utvikleres kodeledning, har de vist seg å være ineffektive fordi containerbilder er forkortet til der de inneholder den minste nyttelasten som kreves for å kjøre et program, og bildene har ingen utviklingskontekst for et program .
For applikasjonsgjenstander har Code Risk Analyzer som mål å gi sårbarhets-, lisensiering- og CIS-kontroller for distribusjonskonfigurasjoner, generere stykklister og utføre sikkerhetskontroll.
Terraform-filer (* .tf) som brukes til å skaffe eller konfigurere skytjenester som Cloud Object Store og LogDNA, blir også analysert for å identifisere sikkerhetskonfigurasjonsfeil.
Fuente: https://www.ibm.com