为了将安全性和合规性分析引入给开发人员,IBM已将其代码风险分析器功能添加到其IBM Cloud Continuous Delivery服务中。
IBM将代码风险分析器描述为一种安全措施,可以将其配置为在开发人员的代码管道开始时运行,以分析和查看Git存储库以发现开源代码的问题。目的是帮助应用程序团队识别网络安全威胁,确定应用程序安全问题的优先级并解决安全问题。IBM Cloud Continuous Delivery帮助供应工具链,自动化测试和构建以及通过分析控制软件质量。
IBM表示,随着微服务和容器等云原生开发实践改变了安全性和合规性流程,集中式运营团队管理应用程序的安全性和合规性不再可行。开发人员需要诸如Code Risk Analyzer之类的云原生功能才能嵌入到现有工作流程中。代码风险分析器可帮助开发人员确保例行工作流程的安全性和合规性。
在开发Code Risk Analyzer时,IBM调查了IT组织在构建和部署应用程序以及供应和配置Kubernetes基础架构和云服务中使用的源工件。现有的云解决方案在整个源代码范围内提供有限的安全控制,包括对应用程序清单进行漏洞扫描。因此,有必要设计一个包含跨工件的安全性和合规性评估的解决方案。
Code Risk Analyzer扫描基于Git的Python,Node.js和Java代码的源代码存储库,并对部署配置执行漏洞检查,许可证管理检查和CIS(Internet安全中心)合规性检查,并生成“材料清单”对于所有依赖项及其来源。扫描用于预配置云服务(例如Cloud Object Store)的Terraform文件,以查找任何安全性错误配置。
IBM试图将安全控制纳入NIST或CIS等标准中,并在向用户介绍新的安全实践的同时拉平学习曲线。通过提供可操作的反馈,开发人员无需了解安全性定义和策略。