Code Risk Analyzer:DevSecOps提供的安全性和合规性分析服务

IBM宣布推出Code Risk Analyzer 在您的IBM Cloud Continuous Delivery服务中, 一个功能 提供开发商 DevSecOps安全性和合规性分析。

代码风险分析器 可以配置为在启动时运行 从开发人员的代码管道中进行检查 并解析Git存储库 寻找麻烦 对于任何需要管理的开源代码而言都是已知的。

帮助提供工具链, 自动化构建和测试, 据该公司称,它允许用户通过分析来控制软件的质量。

代码分析器的目标 是为了允许应用程序团队 识别网络安全威胁,确定可能影响应用程序的安全问题的优先级,并解决安全问题。

IBM的史蒂文·韦弗(Steven Weaver)在帖子中说:

“减少在代码中嵌入漏洞的风险对于成功开发至关重要。 随着本机开源,容器和云技术变得越来越普遍和重要,在开发周期的早期进行监视和测试可以节省时间和金钱。

“今天,IBM很高兴宣布Code Risk Analyzer,这是IBM Cloud Continuous Delivery的一项新功能。 与IBM Research项目和客户反馈一起开发的Code Risk Analyzer使像您这样的开发人员能够快速评估和纠正可能渗透到您的源代码中的任何法律和安全风险,并将反馈直接提供给您的代码。 Git工件(例如,拉/合并请求)。 代码风险分析器是作为Tekton任务集提供的,可以轻松地合并到您的交付渠道中。”

Code Risk Analyzer提供以下功能来 扫描基于IBM Cloud Continuous Delivery Git的源存储库 和问题跟踪(GitHub)寻找已知漏洞。

功能包括根据Snyk丰富的威胁情报发现应用程序(Python,Node.js,Java)和操作系统堆栈(基础映像)中的漏洞。 和清除,并提供修复建议。

IBM已与Snyk合作,以整合其覆盖范围 全面的安全工具可帮助您在工作流程的早期自动查找,确定优先级并修复开源容器和依赖项中的漏洞。

Snyk英特尔漏洞数据库由一个经验丰富的Snyk安全研究团队不断进行管理,以使团队能够有效地控制开源安全问题,同时始终专注于开发。

Clair是一个用于静态分析的开源项目 应用程序容器中的漏洞。 因为您使用静态分析来扫描图像,所以无需运行容器就可以分析图像。

代码风险分析器可以检测配置错误 根据行业标准和社区最佳实践在Kubernetes部署文件中添加。

代码风险分析器 产生命名 (BoM) 代表所有依赖关系及其应用程序源。 此外,BoM-Diff函数还允许您将任何依赖项之间的差异与源代码中的基本分支进行比较。

尽管先前的解决方案专注于在开发人员的代码流水线的开头运行,但是它们已被证明是无效的,因为容器映像已减少到它们包含运行应用程序所需的最小有效负载的位置,并且这些映像不具有应用程序的开发上下文。 。

对于应用程序工件,Code Risk Analyzer旨在提供有关部署配置的漏洞,许可和CIS检查,生成BOM和执行安全检查。

还分析了用于配置或配置云服务(例如Cloud Object Store和LogDNA)的Terraform文件(* .tf),以识别安全配置错误。

数据来源: https://www.ibm.com


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。