IBM объявила о выпуске Code Risk Analyzer в вашей службе непрерывной доставки IBM Cloud, функция для предоставить разработчикам DevSecOps безопасность и анализ соответствия.
Анализатор рисков кода можно настроить для запуска при запуске из конвейера кода разработчика и исследует и анализирует репозитории Git ищу неприятности известно любому открытому исходному коду, которым нужно управлять.
Помогает обеспечить цепочки для инструментов, автоматизировать сборки и тесты, и позволяет пользователям отслеживать качество программного обеспечения с помощью аналитики.
Цель анализатора кода позволяет командам приложений выявлять угрозы кибербезопасности, расставляйте приоритеты в вопросах безопасности, которые могут повлиять на приложения, и решайте проблемы безопасности.
Стивен Уивер из IBM написал в своем сообщении:
«Снижение риска внедрения уязвимостей в ваш код имеет решающее значение для успешной разработки. Поскольку собственные технологии с открытым исходным кодом, контейнеры и облачные технологии становятся все более распространенными и важными, перемещение мониторинга и тестирования на более ранние стадии цикла разработки может сэкономить время и деньги.
«Сегодня IBM рада анонсировать Code Risk Analyzer, новую функцию IBM Cloud Continuous Delivery. Code Risk Analyzer, разработанный совместно с проектами IBM Research и отзывами клиентов, позволяет разработчикам, таким как вы, быстро оценивать и исправлять любые юридические риски и риски безопасности, которые потенциально проникли в ваш исходный код, и предоставлять обратную связь непосредственно в ваш код. Артефакты Git (например, запросы на вытягивание / слияние). Code Risk Analyzer предоставляется в виде набора задач Tekton, которые можно легко включить в ваши каналы доставки ».
Code Risk Analyzer предоставляет следующие функции для: репозитории источников сканирования на основе IBM Cloud Continuous Delivery Git и отслеживание проблем (GitHub) для поиска известных уязвимостей.
Возможности включают обнаружение уязвимостей в вашем приложении (Python, Node.js, Java) и стеке операционной системы (базовый образ) на основе обширной аналитики угроз Snyk. и Очистить, и предоставляет рекомендации по исправлению.
IBM заключила партнерское соглашение со Snyk для интеграции своего покрытия Комплексное программное обеспечение безопасности, которое поможет вам автоматически находить, определять приоритеты и исправлять уязвимости в контейнерах с открытым исходным кодом и зависимостях на ранних этапах рабочего процесса.
База данных уязвимостей Snyk Intel постоянно курируется опытной группой исследователей безопасности Snyk, чтобы группы могли быть оптимально эффективными в сдерживании проблем безопасности с открытым исходным кодом, оставаясь при этом сосредоточенными на разработке.
Clair - проект с открытым исходным кодом для статического анализа. уязвимостей в контейнерах приложений. Поскольку вы сканируете изображения с помощью статического анализа, вы можете анализировать изображения без запуска контейнера.
Анализатор рисков кода может обнаруживать ошибки конфигурации в ваших файлах развертывания Kubernetes на основе отраслевых стандартов и лучших практик сообщества.
Анализатор рисков кода генерирует номенклатуру (БМ) A, представляющий все зависимости и их источники для приложений. Также функция BoM-Diff позволяет сравнивать различия в любых зависимостях с базовыми ветвями в исходном коде.
Хотя предыдущие решения были ориентированы на запуск в начале конвейера кода разработчика, они оказались неэффективными, поскольку образы контейнеров были уменьшены до уровня, в котором они содержат минимальную полезную нагрузку, необходимую для запуска приложения, а образы не имеют контекста разработки приложения. .
Для артефактов приложений анализатор рисков кода предназначен для проверки уязвимостей, лицензий и CIS в конфигурациях развертывания, создания спецификаций и выполнения проверок безопасности.
Файлы Terraform (* .tf), используемые для предоставления или настройки облачных сервисов, таких как Cloud Object Store и LogDNA, также анализируются для выявления ошибок конфигурации безопасности.
источник: https://www.ibm.com