IBM ogłosił dostępność narzędzia Code Risk Analyzer w usłudze IBM Cloud Continuous Delivery, funkcja dla zapewnić programistom Analiza bezpieczeństwa i zgodności DevSecOps.
Analizator ryzyka kodu można skonfigurować do uruchamiania przy starcie z potoku kodu programisty i bada i analizuje repozytoria Git szukanie kłopotów znany każdemu otwartemu kodowi źródłowemu, który musi być zarządzany.
Pomaga zapewnić łańcuchy narzędzi, zautomatyzować kompilacje i testy, i pozwala użytkownikom kontrolować jakość oprogramowania za pomocą narzędzi analitycznych, według firmy.
Cel analizatora kodu jest zezwolenie zespołom aplikacyjnym identyfikować zagrożenia cyberbezpieczeństwa, ustal priorytety problemów związanych z bezpieczeństwem, które mogą mieć wpływ na aplikacje, i rozwiąż problemy z bezpieczeństwem.
Steven Weaver z IBM powiedział w poście:
„Zmniejszenie ryzyka osadzenia luk w kodzie ma kluczowe znaczenie dla pomyślnego rozwoju. Ponieważ natywne technologie typu open source, kontenerowe i chmurowe stają się coraz bardziej powszechne i ważne, przeniesienie monitorowania i testowania na wcześniejszy etap cyklu rozwoju może zaoszczędzić czas i pieniądze.
„Dzisiaj IBM z przyjemnością przedstawia narzędzie Code Risk Analyzer, nową funkcję IBM Cloud Continuous Delivery. Opracowany we współpracy z projektami IBM Research i opiniami klientów, Code Risk Analyzer umożliwia deweloperom, takim jak Ty, szybką ocenę i korygowanie wszelkich zagrożeń prawnych i bezpieczeństwa, które potencjalnie przeniknęły do Twojego kodu źródłowego, oraz przekazywanie informacji zwrotnych bezpośrednio do Twojego kodu. Artefakty Git (na przykład żądania ściągnięcia / scalenia). Code Risk Analyzer jest dostarczany jako zestaw zadań Tekton, które można łatwo włączyć do kanałów dostarczania ”.
Code Risk Analyzer zapewnia następujące funkcje skanuj repozytoria źródłowe w oparciu o IBM Cloud Continuous Delivery Git i śledzenie problemów (GitHub) w poszukiwaniu znanych luk w zabezpieczeniach.
Możliwości obejmują wykrywanie luk w zabezpieczeniach aplikacji (Python, Node.js, Java) i stosu systemu operacyjnego (obraz podstawowy) w oparciu o bogatą analizę zagrożeń Snyk. i Jasne oraz zawiera zalecenia dotyczące środków zaradczych.
IBM nawiązał współpracę z firmą Snyk w celu zintegrowania jej pokrycia Wszechstronne narzędzia bezpieczeństwa, które pomagają automatycznie znajdować, ustalać priorytety i naprawiać luki w zabezpieczeniach kontenerów open source i zależności na wczesnym etapie przepływu pracy.
Baza danych Snyk Intel Vulnerability Database jest stale nadzorowana przez doświadczony zespół badawczy firmy Snyk, aby umożliwić zespołom optymalną skuteczność w rozwiązywaniu problemów związanych z bezpieczeństwem oprogramowania typu open source, jednocześnie koncentrując się na rozwoju.
Clair to projekt typu open source do analizy statycznej luki w kontenerach aplikacji. Ponieważ skanujesz obrazy za pomocą analizy statycznej, możesz analizować obrazy bez konieczności uruchamiania kontenera.
Code Risk Analyzer może wykryć błędy konfiguracji w plikach wdrożeniowych Kubernetes w oparciu o standardy branżowe i najlepsze praktyki społeczności.
Analizator ryzyka kodu generuje nomenklaturę (BOM) A, który reprezentuje wszystkie zależności i ich źródła dla aplikacji. Ponadto funkcja BoM-Diff umożliwia porównanie różnic w dowolnych zależnościach z podstawowymi gałęziami w kodzie źródłowym.
Podczas gdy poprzednie rozwiązania skupiały się na uruchamianiu na początku potoku kodu programisty, okazały się nieskuteczne, ponieważ obrazy kontenerów zostały zredukowane do miejsca, w którym zawierają minimalny ładunek wymagany do uruchomienia aplikacji, a obrazy nie mają kontekstu programistycznego aplikacji .
W przypadku artefaktów aplikacji Code Risk Analyzer ma na celu zapewnienie podatności, licencji i kontroli CIS w konfiguracjach wdrażania, generowanie BOMów i przeprowadzanie kontroli bezpieczeństwa.
Pliki Terraform (* .tf) używane do udostępniania lub konfigurowania usług w chmurze, takich jak Cloud Object Store i LogDNA, są również analizowane w celu zidentyfikowania błędów konfiguracji zabezpieczeń.
źródło: https://www.ibm.com