IBM宣布推出Code Risk Analyzer 在您的IBM Cloud Continuous Delivery服務中, 一個功能 提供開發商 DevSecOps安全性和合規性分析。
代碼風險分析器 可以配置為在啟動時運行 從開發人員的代碼管道中進行檢查 並解析Git存儲庫 尋找麻煩 對於任何需要管理的開源代碼而言都是已知的。
幫助提供工具鏈, 自動化構建和測試, 據該公司稱,它允許用戶通過分析來控制軟件的質量。
代碼分析器的目標 是為了允許應用程序團隊 識別網絡安全威脅,確定可能影響應用程序的安全問題的優先級,並解決安全問題。
IBM的史蒂文·韋弗(Steven Weaver)在帖子中說:
“減少在代碼中嵌入漏洞的風險對於成功開發至關重要。 隨著本機開源,容器和雲技術變得越來越普遍和重要,在開發週期的早期進行監視和測試可以節省時間和金錢。
“今天,IBM很高興宣布Code Risk Analyzer,這是IBM Cloud Continuous Delivery的一項新功能。 與IBM Research項目和客戶反饋一起開發的Code Risk Analyzer使像您這樣的開發人員能夠快速評估和糾正可能滲透到您的源代碼中的任何法律和安全風險,並將反饋直接提供給您的代碼。 Git工件(例如,拉/合併請求)。 Code Risk Analyzer是作為Tekton任務集提供的,可以輕鬆地整合到您的交付渠道中。”
Code Risk Analyzer提供以下功能來 掃描基於IBM Cloud Continuous Delivery Git的源存儲庫 和問題跟踪(GitHub)尋找已知漏洞。
功能包括根據Snyk豐富的威脅情報發現應用程序(Python,Node.js,Java)和操作系統堆棧(基礎映像)中的漏洞。 和清除,並提供修復建議。
IBM已與Snyk合作,以整合其覆蓋範圍 全面的安全軟件可幫助您在工作流程的早期自動查找,確定優先級並修復開源容器和依賴項中的漏洞。
Snyk英特爾漏洞數據庫由一個經驗豐富的Snyk安全研究團隊不斷進行管理,以使團隊能夠在包含開源安全問題的同時保持專注於開發的最佳效率。
Clair是一個用於靜態分析的開源項目 應用程序容器中的漏洞。 因為您使用靜態分析來掃描圖像,所以無需運行容器就可以分析圖像。
代碼風險分析器可以檢測配置錯誤 根據行業標準和社區最佳實踐在Kubernetes部署文件中添加。
代碼風險分析器 產生命名 (BoM) 表示所有依賴關係及其應用程序源。 此外,BoM-Diff函數還允許您將任何依賴項之間的差異與源代碼中的基本分支進行比較。
儘管先前的解決方案專注於在開發人員的代碼管道的開頭運行,但事實證明它們無效,因為容器映像已縮短到包含運行應用程序所需的最小有效負載的位置,並且映像具有應用程序的開發環境。
對於應用程序工件,Code Risk Analyzer旨在提供有關部署配置的漏洞,許可和CIS檢查,生成BOM和執行安全檢查。
還分析了用於配置或配置雲服務(例如Cloud Object Store和LogDNA)的Terraform文件(* .tf),以識別安全配置錯誤。