IBM, Code Risk Analyzer'ın kullanıma sunulduğunu duyurdu IBM Cloud Continuous Delivery hizmetinizde, için bir işlev geliştiriciler sağlamak DevSecOps güvenlik ve uyumluluk analizi.
Kod Risk Analizcisi başlangıçta çalışacak şekilde yapılandırılabilir bir geliştiricinin kod ardışık düzeninden ve inceler ve Git depolarını ayrıştırır bela aramak yönetilmesi gereken herhangi bir açık kaynak kod tarafından bilinir.
Takım zincirleri sağlamaya yardımcı olur, derlemeleri ve testleri otomatikleştirin, ve şirkete göre, kullanıcıların yazılımın kalitesini analitik ile kontrol etmesini sağlar.
Kod analizcisinin amacı uygulama ekiplerine izin vermek siber güvenlik tehditlerini tanımlayın, uygulamaları etkileyebilecek güvenlik sorunlarını önceliklendirin ve güvenlik sorunlarını çözün.
IBM'den Steven Weaver bir gönderide şunları söyledi:
"Kodunuza güvenlik açıkları yerleştirme riskini azaltmak, başarılı geliştirme için kritik öneme sahiptir. Yerel açık kaynak, kapsayıcı ve bulut teknolojileri daha yaygın ve önemli hale geldikçe, izleme ve testlerin geliştirme döngüsünde daha erken taşınması zamandan ve paradan tasarruf sağlayabilir.
Bugün IBM, IBM Cloud Continuous Delivery'nin yeni bir özelliği olan Code Risk Analyzer'ı duyurmaktan memnuniyet duyar. IBM Research projeleri ve müşteri geri bildirimleriyle birlikte geliştirilen Code Risk Analyzer, sizin gibi geliştiricilerin kaynak kodunuza sızma potansiyeli olan yasal ve güvenlik risklerini hızla değerlendirip düzeltmesine ve kodunuza doğrudan geri bildirim sağlamasına olanak tanır. Git yapıları (örneğin, çekme / birleştirme istekleri). Code Risk Analyzer, dağıtım kanallarınıza kolayca dahil edilebilen bir dizi Tekton görevi olarak sağlanır. "
Code Risk Analyzer, aşağıdaki işlevleri sağlar: IBM Cloud Continuous Delivery Git tabanlı kaynak havuzlarını tarayın ve bilinen güvenlik açıklarını arayan Sorun İzleme (GitHub).
Yetenekler, uygulamanızdaki (Python, Node.js, Java) ve işletim sistemi yığınındaki (temel görüntü) Snyk'in zengin tehdit istihbaratına dayalı güvenlik açıklarını keşfetmeyi içerir. ve Clear ve iyileştirme önerileri sağlar.
IBM, kapsamını bütünleştirmek için Snyk ile ortaklık kurdu İş akışınızın erken aşamalarında açık kaynak kapsayıcılarındaki ve bağımlılıklardaki güvenlik açıklarını otomatik olarak bulmanıza, önceliklendirmenize ve düzeltmenize yardımcı olacak kapsamlı güvenlik araçları.
Snyk Intel Güvenlik Açığı Veritabanı, ekiplerin geliştirmeye odaklanırken açık kaynak güvenlik sorunlarını kontrol etmede optimum düzeyde etkili olmalarını sağlamak için deneyimli bir Snyk güvenlik araştırma ekibi tarafından sürekli olarak küratörlüğünü yapmaktadır.
Clair, statik analiz için açık kaynaklı bir projedir uygulama kapsayıcılarındaki güvenlik açıkları. Görüntüleri statik analiz kullanarak taradığınız için, kapsayıcınızı çalıştırmak zorunda kalmadan görüntüleri analiz edebilirsiniz.
Code Risk Analyzer, yapılandırma hatalarını tespit edebilir Kubernetes dağıtım dosyalarınızda endüstri standartlarına ve topluluğun en iyi uygulamalarına göre.
Kod Risk Analizcisi bir isimlendirme oluşturur (BoM) Uygulamalar için tüm bağımlılıkları ve kaynaklarını temsil eden bir. Ayrıca BoM-Diff işlevi, herhangi bir bağımlılıktaki farklılıkları kaynak koddaki temel dallarla karşılaştırmanıza olanak tanır.
Önceki çözümler geliştiricinin kod ardışık düzeninin başlangıcında çalışmaya odaklanırken, kapsayıcı görüntüleri bir uygulamayı çalıştırmak için gereken minimum yükü içerdikleri yere indirildiğinden ve görüntülerin bir uygulamanın geliştirme bağlamına sahip olmadığı için etkisiz oldukları kanıtlanmıştır. .
Code Risk Analyzer, uygulama yapıları için, dağıtım yapılandırmalarında güvenlik açığı, lisanslama ve CIS kontrolleri sağlamayı, BOM'lar oluşturmayı ve güvenlik kontrolleri gerçekleştirmeyi amaçlamaktadır.
Cloud Object Store ve LogDNA gibi bulut hizmetlerini sağlamak veya yapılandırmak için kullanılan Terraform dosyaları (* .tf) da güvenlik yapılandırma hatalarını tanımlamak için analiz edilir.
kaynak: https://www.ibm.com