為了將安全性和合規性分析引入給開發人員,IBM已將其代碼風險分析器功能添加到其IBM Cloud Continuous Delivery服務中。
IBM將代碼風險分析器描述為一種安全措施,可以將其配置為在開發人員的代碼管道開始時運行,以分析和查看Git存儲庫以發現開源代碼的問題。目的是幫助應用程序團隊識別網絡安全威脅,確定應用程序安全問題的優先級并解決安全問題。IBM Cloud Continuous Delivery幫助供應工具鏈,自動化測試和構建以及通過分析控制軟件質量。
IBM表示,隨著微服務和容器等云原生開發實踐改變了安全性和合規性流程,集中式運營團隊管理應用程序的安全性和合規性不再可行。開發人員需要諸如Code Risk Analyzer之類的云原生功能才能嵌入到現有工作流程中。代碼風險分析器可幫助開發人員確保例行工作流程的安全性和合規性。
在開發Code Risk Analyzer時,IBM調查了IT組織在構建和部署應用程序以及供應和配置Kubernetes基礎架構和云服務中使用的源工件。現有的云解決方案在整個源代碼范圍內提供有限的安全控制,包括對應用程序清單進行漏洞掃描。因此,有必要設計一個包含跨工件的安全性和合規性評估的解決方案。
Code Risk Analyzer掃描基于Git的Python,Node.js和Java代碼的源代碼存儲庫,并對部署配置執行漏洞檢查,許可證管理檢查和CIS(Internet安全中心)合規性檢查,并生成“材料清單”對于所有依賴項及其來源。掃描用于預配置云服務(例如Cloud Object Store)的Terraform文件,以查找任何安全性錯誤配置。
IBM試圖將安全控制納入NIST或CIS等標準中,并在向用戶介紹新的安全實踐的同時拉平學習曲線。通過提供可操作的反饋,開發人員無需了解安全性定義和策略。
