Spoločnosť IBM oznámila dostupnosť nástroja Code Risk Analyzer vo svojej službe IBM Cloud Continuous Delivery, funkcia pre poskytnúť vývojárom Analýza zabezpečenia a súladu s predpismi DevSecOps.
Analyzátor rizík kódu možno nakonfigurovať na spustenie pri štarte z vývojárskeho kódu a skúma a analyzuje úložiská Git hľadajú problémy známy každému otvorenému zdrojovému kódu, ktorý je potrebné spravovať.
Pomáha poskytovať reťaze nástrojov, automatizovať zostavy a testy, a umožňuje používateľom monitorovať kvalitu softvéru pomocou analytiky, podľa spoločnosti.
Cieľ analyzátora kódu je umožniť aplikačné tímy identifikovať kybernetické bezpečnostné hrozby, uprednostnite problémy so zabezpečením, ktoré môžu mať vplyv na aplikácie, a vyriešte problémy so zabezpečením.
Steven Weaver z IBM v príspevku uviedol:
„Zníženie rizika zabudovania zraniteľností do vášho kódu je rozhodujúce pre úspešný vývoj. Keď sa natívne technológie open source, kontajner a cloud stanú čoraz bežnejšími a dôležitejšími, presun monitorovania a testovania skôr v rámci vývojového cyklu môže ušetriť čas a peniaze.
„Spoločnosť IBM dnes s potešením oznamuje Code Risk Analyzer, novú funkciu IBM Cloud Continuous Delivery. Program Code Risk Analyzer, ktorý bol vyvinutý v spolupráci s projektmi IBM Research a spätnou väzbou od zákazníkov, umožňuje vývojárom ako vy rýchlo vyhodnotiť a napraviť všetky právne a bezpečnostné riziká, ktoré potenciálne infiltrovali váš zdrojový kód, a poskytnúť spätnú väzbu priamo do vášho kódu. Git artefakty (napríklad požiadavky na stiahnutie / zlúčenie). Code Risk Analyzer je poskytovaný ako sada úloh spoločnosti Tekton, ktoré je možné ľahko začleniť do vašich doručovacích kanálov. “
Analyzátor rizikových kódov poskytuje nasledujúce funkcie skenovanie zdrojových úložísk na základe IBM Cloud Continuous Delivery Git a sledovanie problémov (GitHub), ktoré hľadajú známe chyby zabezpečenia.
Medzi možnosti patrí odhalenie slabých miest vo vašej aplikácii (Python, Node.js, Java) a zásobníku operačného systému (základný obrázok) na základe bohatej inteligencie hrozieb Snyka. a Vymazať a poskytuje odporúčania na nápravu.
Spoločnosť IBM uzavrela partnerstvo so spoločnosťou Snyk na integrácii jej pokrytia Komplexné bezpečnostné nástroje, ktoré vám pomôžu automaticky vyhľadať, určiť priority a opraviť chyby zabezpečenia v kontajneroch a závislostiach otvorených zdrojov na začiatku vášho pracovného toku.
Databáza zraniteľnosti Intel Snyk je neustále pripravovaná skúseným výskumným tímom bezpečnosti Snyk, aby tímy boli optimálne účinné pri zvládaní bezpečnostných problémov s otvoreným zdrojom a naďalej sa zameriavali na vývoj.
Clair je projekt open source pre statickú analýzu zraniteľnosti v kontajneroch aplikácií. Pretože skenujete obrázky pomocou statickej analýzy, môžete obrázky analyzovať bez toho, aby ste museli spustiť svoj kontajner.
Analyzátor rizík kódu dokáže zistiť chyby konfigurácie vo vašich súboroch nasadenia Kubernetes na základe priemyselných štandardov a osvedčených postupov komunity.
Analyzátor rizík kódu generuje nomenklatúru (BoM) A, ktorý predstavuje všetky závislosti a ich zdroje pre aplikácie. Funkcia BoM-Diff vám tiež umožňuje porovnať rozdiely v akýchkoľvek závislostiach so základnými vetvami v zdrojovom kóde.
Zatiaľ čo predchádzajúce riešenia sa zameriavali na spustenie na začiatku vývojového kanála kódu, ukázali sa ako neúčinné, pretože obrázky kontajnerov boli skrátené na také, ktoré obsahujú minimálne užitočné zaťaženie potrebné na spustenie aplikácie a obrázky nemajú vývojový kontext aplikácie. .
Pokiaľ ide o artefakty aplikácií, cieľom nástroja Code Risk Analyzer je poskytnúť zraniteľnosť, licencie a kontroly CIS konfigurácií nasadenia, generovať kusovníky a vykonávať kontroly zabezpečenia.
Na identifikáciu chýb konfigurácie zabezpečenia sa analyzujú aj súbory terraformu (* .tf) používané na poskytovanie alebo konfiguráciu cloudových služieb, ako sú Cloud Object Store a LogDNA.
Fuente: https://www.ibm.com