A IBM anunciou a disponibilidade do Code Risk Analyzer em seu serviço IBM Cloud Continuous Delivery, uma função para fornecer desenvolvedores Análise de segurança e conformidade DevSecOps.
Analisador de risco de código pode ser configurado para ser executado na inicialização do pipeline de código de um desenvolvedor e examina e analisa os repositórios Git procurando problemas conhecido por qualquer código-fonte aberto que precise ser gerenciado.
Ajuda a fornecer cadeias de ferramentas, automatizar compilações e testes, e permite que os usuários controlem a qualidade do software com análises, de acordo com a empresa.
O objetivo do analisador de código é permitir que as equipes de aplicativos identificar ameaças de cibersegurança, priorize os problemas de segurança que podem afetar os aplicativos e resolva os problemas de segurança.
Steven Weaver, da IBM, disse em um post:
“Reduzir o risco de incorporar vulnerabilidades em seu código é fundamental para o desenvolvimento bem-sucedido. Conforme as tecnologias nativas de código-fonte aberto, contêiner e nuvem se tornam mais comuns e importantes, mover o monitoramento e os testes no início do ciclo de desenvolvimento pode economizar tempo e dinheiro.
“Hoje, a IBM tem o prazer de anunciar o Code Risk Analyzer, um novo recurso do IBM Cloud Continuous Delivery. Desenvolvido em conjunto com projetos de pesquisa da IBM e feedback de clientes, o Code Risk Analyzer permite que desenvolvedores como você avaliem e corrijam rapidamente quaisquer riscos legais e de segurança que potencialmente se infiltraram em seu código-fonte e forneçam feedback diretamente em seu código. Artefatos Git (por exemplo, solicitações de pull / merge). O Code Risk Analyzer é fornecido como um conjunto de tarefas Tekton, que podem ser facilmente incorporadas aos seus canais de entrega. ”
O Code Risk Analyzer fornece a seguinte funcionalidade para digitalizar repositórios de origem com base no IBM Cloud Continuous Delivery Git e Issue Tracking (GitHub) procurando vulnerabilidades conhecidas.
Os recursos incluem a descoberta de vulnerabilidades em seu aplicativo (Python, Node.js, Java) e a pilha do sistema operacional (imagem de base) com base na rica inteligência de ameaças de Snyk. e Clear, e fornece recomendações de remediação.
IBM fez parceria com Snyk para integrar sua cobertura Software de segurança abrangente para ajudá-lo a localizar, priorizar e corrigir automaticamente vulnerabilidades em contêineres de código aberto e dependências no início de seu fluxo de trabalho.
O Snyk Intel Vulnerability Database é continuamente curado por uma experiente equipe de pesquisa de segurança da Snyk para permitir que as equipes sejam eficazes na contenção de problemas de segurança de código aberto, enquanto permanecem focadas no desenvolvimento.
Clair é um projeto de código aberto para análise estática vulnerabilidades em contêineres de aplicativos. Como você digitaliza imagens usando análise estática, pode analisar imagens sem executar seu contêiner.
O Code Risk Analyzer pode detectar erros de configuração em seus arquivos de implantação do Kubernetes com base nos padrões do setor e nas práticas recomendadas da comunidade.
Analisador de risco de código gera uma nomenclatura (BoM) Um representando todas as dependências e suas fontes para aplicativos. Além disso, a função BoM-Diff permite que você compare as diferenças em quaisquer dependências com as ramificações de base no código-fonte.
Embora as soluções anteriores se concentrassem na execução no início de um pipeline de código do desenvolvedor, elas se mostraram ineficazes porque as imagens de contêiner foram reduzidas para conter a carga útil mínima necessária para executar um aplicativo e as imagens não têm o contexto de desenvolvimento de um aplicativo.
Para artefatos de aplicativos, o Code Risk Analyzer visa fornecer verificações de vulnerabilidade, licenciamento e CIS nas configurações de implantação, gerar BOMs e realizar verificações de segurança.
Os arquivos Terraform (* .tf) usados para provisionar ou configurar serviços em nuvem, como Cloud Object Store e LogDNA, também são analisados para identificar erros de configuração de segurança.
fonte: https://www.ibm.com