IBM đã công bố tính khả dụng của Trình phân tích rủi ro mã trong dịch vụ Phân phối liên tục trên đám mây của IBM, một chức năng cho cung cấp cho các nhà phát triển Phân tích tuân thủ và bảo mật DevSecOps.
Trình phân tích rủi ro mã có thể được cấu hình để chạy khi khởi động từ quy trình mã của nhà phát triển và kiểm tra và phân tích cú pháp các kho lưu trữ Git tìm kiếm rắc rối được biết đến với bất kỳ mã nguồn mở nào cần được quản lý.
Giúp cung cấp chuỗi công cụ, tự động hóa các bản dựng và thử nghiệm, và cho phép người dùng kiểm soát chất lượng của phần mềm bằng phân tích, theo công ty.
Mục tiêu của trình phân tích mã là cho phép các nhóm ứng dụng xác định các mối đe dọa an ninh mạng, ưu tiên các vấn đề bảo mật có thể ảnh hưởng đến ứng dụng và giải quyết các vấn đề bảo mật.
Steven Weaver của IBM cho biết trong một bài đăng:
“Giảm nguy cơ nhúng các lỗ hổng trong mã của bạn là rất quan trọng để phát triển thành công. Khi công nghệ nguồn mở, vùng chứa và đám mây tự nhiên trở nên phổ biến và quan trọng hơn, việc di chuyển giám sát và thử nghiệm sớm hơn trong chu kỳ phát triển có thể tiết kiệm thời gian và tiền bạc.
“Hôm nay, IBM vui mừng công bố Trình phân tích rủi ro mã, một tính năng mới của Phân phối liên tục trên đám mây của IBM. Được phát triển cùng với các dự án Nghiên cứu của IBM và phản hồi của khách hàng, Code Risk Analyzer cho phép các nhà phát triển như bạn nhanh chóng đánh giá và khắc phục mọi rủi ro pháp lý và bảo mật có khả năng xâm nhập vào mã nguồn của bạn và cung cấp phản hồi trực tiếp vào mã của bạn. Git tạo tác (ví dụ: yêu cầu kéo / hợp nhất). Trình phân tích rủi ro mã được cung cấp dưới dạng một tập hợp các nhiệm vụ Tekton, có thể dễ dàng kết hợp vào các kênh phân phối của bạn. "
Trình phân tích rủi ro mã cung cấp chức năng sau để quét kho lưu trữ nguồn dựa trên IBM Cloud Continuous Delivery Git và Theo dõi vấn đề (GitHub) tìm kiếm các lỗ hổng bảo mật đã biết.
Các khả năng bao gồm việc phát hiện ra các lỗ hổng trong ứng dụng của bạn (Python, Node.js, Java) và ngăn xếp hệ điều hành (hình ảnh cơ sở) dựa trên trí thông minh về mối đe dọa phong phú của Snyk. và Rõ ràng, và cung cấp các khuyến nghị khắc phục.
IBM đã hợp tác với Snyk để tích hợp phạm vi bảo hiểm của nó Các công cụ bảo mật toàn diện giúp bạn sớm tự động tìm, ưu tiên và sửa các lỗ hổng bảo mật trong các vùng chứa và phụ thuộc mã nguồn mở trong quy trình làm việc của mình.
Cơ sở dữ liệu về lỗ hổng bảo mật của Snyk Intel liên tục được quản lý bởi một nhóm nghiên cứu bảo mật giàu kinh nghiệm của Snyk để cho phép các nhóm đạt được hiệu quả tối ưu trong việc giải quyết các vấn đề bảo mật nguồn mở, trong khi vẫn tập trung vào phát triển.
Clair là một dự án mã nguồn mở để phân tích tĩnh lỗ hổng trong vùng chứa ứng dụng. Bởi vì bạn quét hình ảnh bằng cách sử dụng phân tích tĩnh, bạn có thể phân tích hình ảnh mà không cần chạy vùng chứa của mình.
Trình phân tích rủi ro mã có thể phát hiện lỗi cấu hình trong các tệp triển khai Kubernetes của bạn dựa trên các tiêu chuẩn ngành và các phương pháp hay nhất của cộng đồng.
Trình phân tích rủi ro mã tạo ra một danh pháp (Hội đồng quản trị) A đại diện cho tất cả các phụ thuộc và nguồn của chúng cho các ứng dụng. Ngoài ra, chức năng BoM-Diff cho phép bạn so sánh sự khác biệt trong bất kỳ phần phụ thuộc nào với các nhánh cơ sở trong mã nguồn.
Mặc dù các giải pháp trước đây tập trung vào việc chạy ở đầu đường dẫn mã của nhà phát triển, nhưng chúng đã được chứng minh là không hiệu quả vì hình ảnh vùng chứa đã được giảm xuống nơi chứa tải trọng tối thiểu cần thiết để chạy một ứng dụng và hình ảnh không có bối cảnh phát triển của ứng dụng .
Đối với các tạo tác ứng dụng, Code Risk Analyzer nhằm mục đích cung cấp kiểm tra lỗ hổng bảo mật, cấp phép và CIS về cấu hình triển khai, tạo BOM và thực hiện kiểm tra bảo mật.
Các tệp Terraform (* .tf) được sử dụng để cung cấp hoặc định cấu hình các dịch vụ đám mây như Cloud Object Store và LogDNA cũng được phân tích để xác định lỗi cấu hình bảo mật.
Fuente: https://www.ibm.com