Code Risk Analyzer - сервис анализа безопасности и соответствия от DevSecOps

IBM объявила о выпуске Code Risk Analyzer в вашей службе непрерывной доставки IBM Cloud, функция для предоставить разработчикам DevSecOps безопасность и анализ соответствия.

Анализатор рисков кода можно настроить для запуска при запуске из конвейера кода разработчика и исследует и анализирует репозитории Git ищу неприятности известно любому открытому исходному коду, которым нужно управлять.

Помогает обеспечить цепочки для инструментов, автоматизировать сборки и тесты, и позволяет пользователям отслеживать качество программного обеспечения с помощью аналитики.

Цель анализатора кода позволяет командам приложений выявлять угрозы кибербезопасности, расставляйте приоритеты в вопросах безопасности, которые могут повлиять на приложения, и решайте проблемы безопасности.

Стивен Уивер из IBM написал в своем сообщении:

«Снижение риска внедрения уязвимостей в ваш код имеет решающее значение для успешной разработки. Поскольку собственные технологии с открытым исходным кодом, контейнеры и облачные технологии становятся все более распространенными и важными, перемещение мониторинга и тестирования на более ранние стадии цикла разработки может сэкономить время и деньги.

«Сегодня IBM рада анонсировать Code Risk Analyzer, новую функцию IBM Cloud Continuous Delivery. Code Risk Analyzer, разработанный совместно с проектами IBM Research и отзывами клиентов, позволяет разработчикам, таким как вы, быстро оценивать и исправлять любые юридические риски и риски безопасности, которые потенциально проникли в ваш исходный код, и предоставлять обратную связь непосредственно в ваш код. Артефакты Git (например, запросы на вытягивание / слияние). Code Risk Analyzer предоставляется в виде набора задач Tekton, которые можно легко включить в ваши каналы доставки ».

Code Risk Analyzer предоставляет следующие функции для: репозитории источников сканирования на основе IBM Cloud Continuous Delivery Git и отслеживание проблем (GitHub) для поиска известных уязвимостей.

Возможности включают обнаружение уязвимостей в вашем приложении (Python, Node.js, Java) и стеке операционной системы (базовый образ) на основе обширной аналитики угроз Snyk. и Очистить, и предоставляет рекомендации по исправлению.

IBM заключила партнерское соглашение со Snyk для интеграции своего покрытия Комплексное программное обеспечение безопасности, которое поможет вам автоматически находить, определять приоритеты и исправлять уязвимости в контейнерах с открытым исходным кодом и зависимостях на ранних этапах рабочего процесса.

База данных уязвимостей Snyk Intel постоянно курируется опытной группой исследователей безопасности Snyk, чтобы группы могли быть оптимально эффективными в сдерживании проблем безопасности с открытым исходным кодом, оставаясь при этом сосредоточенными на разработке.

Clair - проект с открытым исходным кодом для статического анализа. уязвимостей в контейнерах приложений. Поскольку вы сканируете изображения с помощью статического анализа, вы можете анализировать изображения без запуска контейнера.

Анализатор рисков кода может обнаруживать ошибки конфигурации в ваших файлах развертывания Kubernetes на основе отраслевых стандартов и лучших практик сообщества.

Анализатор рисков кода генерирует номенклатуру (БМ) A, представляющий все зависимости и их источники для приложений. Также функция BoM-Diff позволяет сравнивать различия в любых зависимостях с базовыми ветвями в исходном коде.

Хотя предыдущие решения были ориентированы на запуск в начале конвейера кода разработчика, они оказались неэффективными, поскольку образы контейнеров были уменьшены до уровня, в котором они содержат минимальную полезную нагрузку, необходимую для запуска приложения, а образы не имеют контекста разработки приложения. .

Для артефактов приложений анализатор рисков кода предназначен для проверки уязвимостей, лицензий и CIS в конфигурациях развертывания, создания спецификаций и выполнения проверок безопасности.

Файлы Terraform (* .tf), используемые для предоставления или настройки облачных сервисов, таких как Cloud Object Store и LogDNA, также анализируются для выявления ошибок конфигурации безопасности.

источник: https://www.ibm.com


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.