IBM a anunțat disponibilitatea Code Risk Analyzer în serviciul dvs. de livrare continuă IBM Cloud, o funcție pentru furnizați dezvoltatorilor Analiza securității și conformității DevSecOps.
Analizator de riscuri de cod poate fi configurat pentru a rula la pornire dintr-o conductă de cod a dezvoltatorului și examinează și analizează depozitele Git căutând necazuri cunoscut de orice cod sursă deschisă care trebuie gestionat.
Ajută la furnizarea de lanțuri de scule, automatizează construcțiile și testele, și permite utilizatorilor să controleze calitatea software-ului cu ajutorul analizelor, potrivit companiei.
Scopul analizorului de cod este de a permite echipelor de aplicații identificați amenințările privind securitatea cibernetică, acordă prioritate problemelor de securitate care pot afecta aplicațiile și rezolvă problemele de securitate.
Steven Weaver, de la IBM, a spus într-o postare:
„Reducerea riscului de încorporare a vulnerabilităților în codul dvs. este esențială pentru dezvoltarea cu succes. Pe măsură ce tehnologiile native open source, container și cloud devin mai frecvente și mai importante, mutarea monitorizării și testării mai devreme în ciclul de dezvoltare poate economisi timp și bani.
„Astăzi, IBM este încântat să anunțe Code Risk Analyzer, o nouă caracteristică a IBM Cloud Continuous Delivery. Dezvoltat împreună cu proiectele IBM Research și feedback-ul clienților, Code Risk Analyzer permite dezvoltatorilor ca dvs. să evalueze și să corecteze rapid orice risc legal și de securitate care v-ar fi infiltrat în codul sursă și să ofere feedback direct în cod. Artefacte Git (de exemplu, cereri de extragere / îmbinare). Code Risk Analyzer este furnizat ca un set de sarcini Tekton, care pot fi ușor încorporate în canalele dvs. de livrare. ”
Code Risk Analyzer oferă următoarele funcționalități scanează depozitele sursă bazate pe IBM Cloud Continuous Delivery Git și Urmărirea problemelor (GitHub) care caută vulnerabilități cunoscute.
Capabilitățile includ descoperirea vulnerabilităților în aplicația dvs. (Python, Node.js, Java) și stiva sistemului de operare (imagine de bază) bazată pe bogata inteligență a amenințărilor Snyk. și Clear și oferă recomandări de remediere.
IBM a colaborat cu Snyk pentru a-și integra acoperirea Software de securitate complet pentru a vă ajuta să găsiți, să stabiliți priorități și să remediați în mod automat vulnerabilitățile din containerele open source și dependențele la începutul fluxului de lucru.
Baza de date Snyk Intel Vulnerability este curatată continuu de o echipă experimentată de cercetare a securității Snyk pentru a permite echipelor să fie în mod optim eficiente în conținerea problemelor de securitate open source, rămânând în același timp concentrat pe dezvoltare.
Clair este un proiect open source pentru analize statice vulnerabilități în containerele aplicației. Deoarece scanați imagini utilizând analize statice, puteți analiza imagini fără a fi nevoie să vă rulați containerul.
Code Risk Analyzer poate detecta erori de configurare în fișierele dvs. de implementare Kubernetes pe baza standardelor din industrie și a celor mai bune practici ale comunității.
Analizator de riscuri de cod generează o nomenclatură (BoM) A reprezentând toate dependențele și sursele acestora pentru aplicații. De asemenea, funcția BoM-Diff vă permite să comparați diferențele din orice dependență cu ramurile de bază din codul sursă.
În timp ce soluțiile anterioare se concentrau pe rularea la începutul unei conducte de coduri pentru dezvoltatori, acestea s-au dovedit ineficiente, deoarece imaginile containerului au fost reduse la locul în care conțin sarcina utilă minimă necesară pentru a rula o aplicație, iar imaginile nu au contextul de dezvoltare al unei aplicații. .
Pentru artefacte ale aplicației, Code Risk Analyzer își propune să furnizeze vulnerabilitate, licențiere și verificări CIS în configurațiile de implementare, să genereze BOM-uri și să efectueze verificări de securitate.
Fișierele Terraform (* .tf) utilizate pentru furnizarea sau configurarea serviciilor cloud precum Cloud Object Store și LogDNA sunt, de asemenea, analizate pentru a identifica erorile de configurare a securității.
Fuente: https://www.ibm.com