IBM ประกาศความพร้อมใช้งานของ Code Risk Analyzer ในบริการ IBM Cloud Continuous Delivery ของคุณ ฟังก์ชันสำหรับ ให้นักพัฒนา การวิเคราะห์ความปลอดภัยและการปฏิบัติตามข้อกำหนดของ DevSecOps
รหัสวิเคราะห์ความเสี่ยง สามารถกำหนดค่าให้ทำงานเมื่อเริ่มต้น จากท่อส่งรหัสของนักพัฒนาและตรวจสอบ และแยกวิเคราะห์ที่เก็บ Git กำลังมองหาปัญหา รู้จักกับรหัสโอเพนซอร์สที่ต้องจัดการ
ช่วยจัดหาโซ่เครื่องมือ สร้างและทดสอบโดยอัตโนมัติ และอนุญาตให้ผู้ใช้ตรวจสอบคุณภาพซอฟต์แวร์ด้วยการวิเคราะห์ตามที่ บริษัท ระบุ
เป้าหมายของตัววิเคราะห์โค้ด คือการอนุญาตให้ทีมแอปพลิเคชัน ระบุภัยคุกคามความปลอดภัยทางไซเบอร์จัดลำดับความสำคัญของปัญหาด้านความปลอดภัยที่อาจส่งผลกระทบต่อแอปพลิเคชันและแก้ไขปัญหาด้านความปลอดภัย
Steven Weaver ของ IBM กล่าวในโพสต์:
“ การลดความเสี่ยงในการฝังช่องโหว่ในโค้ดของคุณมีความสำคัญอย่างยิ่งต่อการพัฒนาที่ประสบความสำเร็จ เนื่องจากเทคโนโลยีโอเพ่นซอร์สคอนเทนเนอร์และคลาวด์ดั้งเดิมกลายเป็นเรื่องธรรมดาและมีความสำคัญมากขึ้นการย้ายการตรวจสอบและทดสอบก่อนหน้านี้ในวงจรการพัฒนาสามารถประหยัดเวลาและค่าใช้จ่ายได้
“ วันนี้ IBM มีความยินดีที่จะเปิดตัว Code Risk Analyzer ซึ่งเป็นคุณลักษณะใหม่ของ IBM Cloud Continuous Delivery Code Risk Analyzer ที่พัฒนาร่วมกับโครงการ IBM Research และความคิดเห็นของลูกค้าช่วยให้นักพัฒนาเช่นคุณสามารถประเมินและแก้ไขความเสี่ยงด้านกฎหมายและความปลอดภัยที่อาจแทรกซึมซอร์สโค้ดของคุณได้อย่างรวดเร็ว สิ่งประดิษฐ์ Git (ตัวอย่างเช่นคำขอดึง / รวม) Code Risk Analyzer จัดให้เป็นชุดของงาน Tekton ซึ่งสามารถรวมเข้ากับช่องทางการจัดส่งของคุณได้อย่างง่ายดาย”
Code Risk Analyzer มีฟังก์ชันการทำงานต่อไปนี้ให้กับ สแกนที่เก็บซอร์สตาม IBM Cloud Continuous Delivery Git และการติดตามปัญหา (GitHub) เพื่อค้นหาช่องโหว่ที่ทราบ
ความสามารถรวมถึงการค้นพบช่องโหว่ในแอปพลิเคชันของคุณ (Python, Node.js, Java) และสแต็กของระบบปฏิบัติการ (อิมเมจพื้นฐาน) โดยอาศัยข้อมูลภัยคุกคามที่หลากหลายของ Snyk และชัดเจนและให้คำแนะนำการแก้ไข
IBM ได้ร่วมมือกับ Snyk เพื่อรวมความครอบคลุม ซอฟต์แวร์รักษาความปลอดภัยที่ครอบคลุมเพื่อช่วยให้คุณค้นหาจัดลำดับความสำคัญและแก้ไขช่องโหว่ในคอนเทนเนอร์โอเพนซอร์สและการอ้างอิงในช่วงต้นของขั้นตอนการทำงาน
Snyk Intel Vulnerability Database ได้รับการดูแลอย่างต่อเนื่องโดยทีมวิจัยด้านความปลอดภัยของ Snyk ที่มีประสบการณ์เพื่อให้ทีมมีประสิทธิภาพสูงสุดในการแก้ไขปัญหาด้านความปลอดภัยแบบโอเพนซอร์สในขณะที่ยังคงมุ่งเน้นไปที่การพัฒนา
Clair เป็นโครงการโอเพ่นซอร์สสำหรับการวิเคราะห์แบบคงที่ ช่องโหว่ในแอปพลิเคชันคอนเทนเนอร์ เนื่องจากคุณสแกนรูปภาพโดยใช้การวิเคราะห์แบบคงที่คุณจึงสามารถวิเคราะห์รูปภาพได้โดยไม่ต้องเรียกใช้คอนเทนเนอร์ของคุณ
Code Risk Analyzer สามารถตรวจพบข้อผิดพลาดในการกำหนดค่า ในไฟล์การปรับใช้ Kubernetes ตามมาตรฐานอุตสาหกรรมและแนวทางปฏิบัติที่ดีที่สุดของชุมชน
รหัสวิเคราะห์ความเสี่ยง สร้างระบบการตั้งชื่อ (โบเอ็ม) แสดงการอ้างอิงทั้งหมดและแหล่งที่มาสำหรับแอปพลิเคชัน นอกจากนี้ฟังก์ชัน BoM-Diff ยังช่วยให้คุณสามารถเปรียบเทียบความแตกต่างของการอ้างอิงใด ๆ กับสาขาพื้นฐานในซอร์สโค้ด
ในขณะที่โซลูชันก่อนหน้านี้มุ่งเน้นไปที่การทำงานที่จุดเริ่มต้นของไปป์ไลน์โค้ดของผู้พัฒนา แต่ก็พิสูจน์แล้วว่าไม่ได้ผลเนื่องจากอิมเมจคอนเทนเนอร์ถูกลดลงจนถึงจุดที่มีน้ำหนักบรรทุกขั้นต่ำที่จำเป็นในการรันแอปพลิเคชันและรูปภาพไม่มีบริบทการพัฒนาของแอปพลิเคชัน .
สำหรับสิ่งประดิษฐ์ของแอปพลิเคชัน Code Risk Analyzer มีวัตถุประสงค์เพื่อให้ช่องโหว่การออกใบอนุญาตและการตรวจสอบ CIS เกี่ยวกับการกำหนดค่าการปรับใช้สร้าง BOM และดำเนินการตรวจสอบความปลอดภัย
ไฟล์ Terraform (* .tf) ที่ใช้ในการจัดเตรียมหรือกำหนดค่าบริการคลาวด์เช่น Cloud Object Store และ LogDNA จะถูกวิเคราะห์เพื่อระบุข้อผิดพลาดในการกำหนดค่าความปลอดภัย
Fuente: https://www.ibm.com