IBM tillkännagav tillgängligheten av Code Risk Analyzer i din IBM Cloud Continuous Delivery-tjänst, en funktion för tillhandahålla utvecklare DevSecOps säkerhets- och efterlevnadsanalys.
Kodriskanalysator kan konfigureras att köras vid start från en utvecklares kodrörledning och undersöker och analyserar Git-förvaren letar efter problem känd för öppen källkod som behöver hanteras.
Hjälper till med verktygskedjor, automatisera byggnader och tester, och tillåter användare att kontrollera kvaliteten på programvaran med analyser, enligt företaget.
Målet med kodanalysatorn är att tillåta applikationsteam identifiera cybersäkerhetshotprioritera säkerhetsproblem som kan påverka applikationer och lösa säkerhetsproblem.
IBMs Steven Weaver sa i ett inlägg:
“Att minska risken för att bädda in sårbarheter i din kod är avgörande för framgångsrik utveckling. Eftersom inbyggd öppen källkod, container- och molnteknologi blir vanligare och viktigare kan rörlig övervakning och testning tidigare i utvecklingscykeln spara tid och pengar.
”Idag är IBM nöjet att tillkännage Code Risk Analyzer, en ny funktion i IBM Cloud Continuous Delivery. Code Risk Analyzer, som utvecklats i samband med IBM Research-projekt och kundfeedback, gör det möjligt för utvecklare som du att snabbt bedöma och korrigera alla juridiska och säkerhetsrisker som potentiellt har infiltrerat din källkod och ge feedback direkt i din kod. Git-artefakter (till exempel pull / merge-begäranden). Code Risk Analyzer tillhandahålls som en uppsättning Tekton-uppgifter, som enkelt kan integreras i dina leveranskanaler. ”
Code Risk Analyzer tillhandahåller följande funktioner för skanna källförvar baserat på IBM Cloud Continuous Delivery Git och Issue Tracking (GitHub) som letar efter kända sårbarheter.
Funktioner inkluderar att upptäcka sårbarheter i din applikation (Python, Node.js, Java) och operativsystemstacken (basbild) baserat på Snyks rika hotinformation. och Clear och ger saneringsrekommendationer.
IBM har samarbetat med Snyk för att integrera täckningen Omfattande säkerhetsprogramvara som hjälper dig att automatiskt hitta, prioritera och åtgärda sårbarheter i öppna källkodsbehållare och beroenden tidigt i ditt arbetsflöde.
Snyk Intels sårbarhetsdatabas sammanställs kontinuerligt av ett erfaret Snyk-säkerhetsforskargrupp för att göra det möjligt för team att vara optimalt effektiva för att innehålla säkerhetsfrågor med öppen källkod, samtidigt som de är fokuserade på utveckling.
Clair är ett open source-projekt för statisk analys sårbarheter i applikationsbehållare. Eftersom du skannar bilder med statisk analys kan du analysera bilder utan att behöva köra din container.
Code Risk Analyzer kan upptäcka konfigurationsfel i dina Kubernetes-distributionsfiler baserat på branschstandarder och bästa praxis för samhället.
Kodriskanalysator genererar en nomenklatur (BoM) A som representerar alla beroenden och deras källor för applikationer. Med BoM-Diff-funktionen kan du också jämföra skillnaderna i alla beroenden med basgrenarna i källkoden.
Medan tidigare lösningar fokuserade på att köra i början av en utvecklares kodrörledning har de visat sig vara ineffektiva eftersom containerbilder har förkortats till där de innehåller den minsta nyttolast som krävs för att köra en applikation och bilderna inte har utvecklingskontext för en applikation.
För applikationsartefakter syftar Code Risk Analyzer till att tillhandahålla sårbarhet, licensiering och CIS-kontroller av distributionskonfigurationer, generera BOM och utföra säkerhetskontroller.
Terraform-filer (* .tf) som används för att tillhandahålla eller konfigurera molntjänster som Cloud Object Store och LogDNA analyseras också för att identifiera säkerhetskonfigurationsfel.
Fuente: https://www.ibm.com