IBM je napovedal razpoložljivost analizatorja koda v vaši storitvi IBM Cloud Continuous Delivery, funkcija za razvijalcem Analiza varnosti in skladnosti DevSecOps.
Analizator tveganja lahko nastavite za zagon iz razvijalčevega kode in pregleda in razčleni skladišča Git iščejo težave znano kateri koli odprtokodni kodi, ki jo je treba upravljati.
Pomaga pri zagotavljanju verig orodij, avtomatizirajte gradnje in teste, in po mnenju podjetja uporabnikom omogoča nadzor kakovosti programske opreme z analitiko.
Cilj analizatorja kode je omogočiti prijavnim skupinam prepoznavanje groženj kibernetske varnosti, dajte prednost varnostnim težavam, ki lahko vplivajo na programe, in rešite varnostne težave.
IBM-ov Steven Weaver je v prispevku dejal:
»Zmanjšanje tveganja za vdelavo ranljivosti v kodo je ključnega pomena za uspešen razvoj. Ko so izvorne odprtokodne, vsebniške in oblačne tehnologije vse bolj pogoste in pomembne, lahko premikanje spremljanja in testiranja v zgodnejšem razvojnem ciklu prihrani čas in denar.
“Danes IBM z veseljem najavlja analizator kode tveganja, novo funkcijo IBM-ove neprekinjene dostave v oblaku. Code Risk Analyzer, razvit v sodelovanju z IBM-ovimi raziskovalnimi projekti in povratnimi informacijami strank, razvijalcem, kot ste vi, omogoča hitro oceno in odpravo morebitnih pravnih in varnostnih tveganj, ki so lahko vdrla v vašo izvorno kodo, ter povratne informacije neposredno v vašo kodo. Artefakti Git (na primer zahteve za vlečenje / spajanje). Code Risk Analyzer je na voljo kot sklop Tektonovih nalog, ki jih lahko enostavno vključite v svoje dostavne kanale. "
Code Risk Analyzer ponuja naslednje funkcije: skeniranje izvornih repozitorijev na osnovi IBM Cloud Continuous Delivery Git in sledenje težavam (GitHub), ki iščejo znane ranljivosti.
Zmožnosti vključujejo odkrivanje ranljivosti v vaši aplikaciji (Python, Node.js, Java) in sklad operacijskega sistema (osnovna slika), ki temelji na bogati Snykovi inteligenci o grožnjah. in Clear ter vsebuje priporočila za sanacijo.
IBM je sodeloval s podjetjem Snyk, da bi vključil njegovo pokritost Celovita varnostna programska oprema za samodejno iskanje, določanje prednostnih nalog in odpravljanje ranljivosti v odprtokodnih vsebnikih in odvisnostih v zgodnjem delovnem toku.
Podatkovno bazo ranljivosti Snyk Intel neprestano pripravlja izkušena skupina za varnostne raziskave Snyk, ki ekipam omogoča optimalno učinkovitost pri obvladovanju odprtokodnih varnostnih vprašanj, hkrati pa ostaja osredotočena na razvoj.
Clair je odprtokodni projekt za statično analizo ranljivosti v zabojnikih aplikacij. Ker slike optično preberete s statično analizo, jih lahko analizirate, ne da bi morali zagnati vsebnik.
Code Risk Analyzer lahko zazna konfiguracijske napake v vaših uvajalskih datotekah Kubernetes na podlagi industrijskih standardov in najboljših praks v skupnosti.
Analizator tveganja ustvari nomenklaturo (BoM) A, ki predstavlja vse odvisnosti in njihove vire za aplikacije. Funkcija BoM-Diff omogoča tudi primerjavo razlik v morebitnih odvisnostih z osnovnimi vejami v izvorni kodi.
Medtem ko so se prejšnje rešitve osredotočale na izvajanje na začetku cevovoda za razvijalce, so se izkazale za neučinkovite, ker so bile slike vsebnikov skrajšane do mesta, kjer vsebujejo najmanjšo koristno obremenitev, potrebno za zagon aplikacije, in slike imajo razvojni kontekst aplikacije.
Za artefakte aplikacij želi Code Risk Analyzer zagotoviti ranljivosti, licenciranje in CIS preverjanje konfiguracij uvajanja, ustvarjati specifikacije in izvajati varnostna preverjanja.
Datoteke Terraform (* .tf), ki se uporabljajo za zagotavljanje ali konfiguriranje storitev v oblaku, kot sta Cloud Object Store in LogDNA, se prav tako analizirajo za prepoznavanje napak v varnostni konfiguraciji.
vir: https://www.ibm.com