Inihayag ng IBM ang pagkakaroon ng Code Risk Analyzer sa iyong serbisyong Patuloy na Paghahatid ng IBM Cloud, isang pagpapaandar para sa magbigay ng mga developer Ang pagtatasa ng seguridad at pagsunod sa DevSecOps.
Code Risk Analyzer maaaring mai-configure upang tumakbo sa startup mula sa pipeline ng code ng isang developer at susuriin at pinag-parse ang mga repository ng Git naghahanap ng gulo kilala sa anumang bukas na code ng mapagkukunan na kailangang pamahalaan.
Tumutulong sa pagbibigay ng mga toolchain, i-automate ang mga pagbubuo at pagsubok, at pinapayagan ang mga gumagamit na kontrolin ang kalidad ng software sa pamamagitan ng analytics, ayon sa kumpanya.
Ang layunin ng code analyzer ay upang payagan ang mga koponan ng aplikasyon kilalanin ang mga banta sa cybersecurity, unahin ang mga isyu sa seguridad na maaaring makaapekto sa mga application, at malutas ang mga isyu sa seguridad.
Sinabi ni IBM na si Steven Weaver sa isang post:
"Ang pagbawas ng peligro ng pag-embed ng mga kahinaan sa iyong code ay kritikal sa matagumpay na pag-unlad. Bilang katutubong open source, container, at cloud na teknolohiya ay naging mas karaniwan at mahalaga, ang paglipat ng pagsubaybay at pagsubok nang mas maaga sa ikot ng pag-unlad ay maaaring makatipid ng oras at pera.
"Ngayon, nasiyahan ang IBM na ipahayag ang Code Risk Analyzer, isang bagong tampok ng IBM Cloud Continuous Delivery. Binuo kasabay ng mga proyekto sa Pananaliksik ng IBM at puna ng customer, binibigyang-daan ng Code Risk Analyzer ang mga developer na tulad mo upang mabilis na masuri at maitama ang anumang mga panganib sa ligal at seguridad na potensyal na tumagos sa iyong source code at magbigay ng feedback nang direkta sa iyong code. Fountain. Mga artifact ng Git (halimbawa, hilahin / pagsamahin ang mga kahilingan). Ang Code Risk Analyzer ay ibinibigay bilang isang hanay ng mga gawain sa Tekton, na maaaring maisama sa iyong mga channel sa paghahatid. ”
Nagbibigay ang Code Risk Analyzer ng sumusunod na pagpapaandar sa i-scan ang mga repositoryang pinagmulan batay sa IBM Cloud Patuloy na Paghahatid Git at Pagsubaybay sa Isyu (GitHub) na naghahanap ng mga kilalang kahinaan.
Kasama sa mga kakayahan ang pagtuklas ng mga kahinaan sa iyong aplikasyon (Python, Node.js, Java) at operating system stack (base image) batay sa mayamang banta sa intelligence ng Snyk. at I-clear, at nagbibigay ng mga rekomendasyon sa pag-aayos.
Nakipagtulungan ang IBM sa Snyk upang isama ang saklaw nito Ang mga kumpletong tool sa seguridad upang matulungan kang awtomatikong makahanap, unahin, at ayusin ang mga kahinaan sa mga lalagyan ng bukas na mapagkukunan at dependency maaga sa iyong daloy ng trabaho.
Ang Snyk Intel Vulnerability Database ay patuloy na na-curate ng isang bihasang pangkat ng pagsasaliksik sa seguridad ng Snyk upang paganahin ang mga koponan na maging mahusay na epektibo sa naglalaman ng mga bukas na isyu sa seguridad ng mapagkukunan, habang nananatiling nakatuon sa pag-unlad.
Ang Clair ay isang bukas na proyekto ng mapagkukunan para sa static na pagtatasa mga kahinaan sa mga lalagyan ng application. Dahil na-scan mo ang mga imahe gamit ang static na pagtatasa, maaari mong pag-aralan ang mga imahe nang hindi pinapatakbo ang iyong lalagyan.
Maaaring makita ng Code Risk Analyzer ang mga error sa pag-configure sa iyong mga file ng pag-deploy ng Kubernetes batay sa mga pamantayan sa industriya at pinakamahuhusay na kasanayan sa pamayanan.
Code Risk Analyzer bumubuo ng isang nomenclature (BoM) Isang kumakatawan sa lahat ng mga dependency at kanilang mga mapagkukunan para sa mga application. Gayundin, pinapayagan ka ng pagpapaandar ng BoM-Diff na ihambing ang mga pagkakaiba sa anumang mga dependency sa mga base branch sa source code.
Habang ang mga nakaraang solusyon ay nakatuon sa pagtakbo sa simula ng code pipeline ng isang developer, napatunayan nilang hindi epektibo dahil ang mga imahe ng lalagyan ay nabawasan sa kung saan naglalaman sila ng minimum na kargamento na kinakailangan upang magpatakbo ng isang application at ang mga imahe ay walang konteksto ng pag-unlad ng isang application.
Para sa mga artifact ng application, nilalayon ng Code Risk Analyzer na magbigay ng kahinaan, lisensya, at mga pagsisiyasat ng CIS sa mga pagsasaayos ng paglawak, bumuo ng mga BOM, at magsagawa ng mga pagsusuri sa seguridad.
Ang mga terraform file (* .tf) na ginamit upang magbigay o mai-configure ang mga serbisyong cloud tulad ng Cloud Object Store at LogDNA ay sinusuri din upang makilala ang mga error sa pagsasaayos ng seguridad.
Fuente: https://www.ibm.com