Llegamos a ustedes gracias a:



Noticias

IBM agrega analizador de riesgos en el código a al CI/CD basado en la nube

[05/11/2020] Con el objetivo de llevar la analítica de seguridad y cumplimiento normativo a DevOps, IBM ha añadido su capacidad Code Risk Analyzer a su servicio IBM Cloud Continuous Delivery.

Code Risk Analyzer es descrito por IBM como una medida de seguridad que se puede configurar para ejecutarse al inicio del pipeline del código de un desarrollador, analizando y revisando repositorios git para detectar problemas con el código abierto. El objetivo es ayudar a los equipos de aplicaciones a reconocer las amenazas a la ciberseguridad, priorizar los problemas de seguridad de las aplicaciones y resolver los problemas de seguridad. IBM Cloud Continuous Delivery ayuda a provisionar cadenas de herramientas, automatizar pruebas y compilaciones, y controlar la calidad del software con analítica.

IBM afirmó que, debido a que las prácticas de desarrollo nativas de la nube, como los microservicios y los contenedores, cambian los procesos de seguridad y cumplimiento, ya no es factible que los equipos de operaciones centralizadas gestionen la seguridad y el cumplimiento normativo de las aplicaciones. Los desarrolladores necesitan capacidades nativas de la nube, como Code Risk Analyzer, para integrarse en los flujos de trabajo existentes. Code Risk Analyzer ayuda a los desarrolladores a garantizar la seguridad y el cumplimiento normativo en los flujos de trabajo de rutina.

En el desarrollo de Code Risk Analyzer, IBM examinó los artefactos de origen utilizados por las organizaciones de TI en la creación e implementación de aplicaciones y en el provisionamiento y la configuración de la infraestructura de Kubernetes y los servicios en la nube. Las soluciones en la nube existentes proporcionan controles de seguridad limitados en todo el espectro del código fuente, incluido el escaneo de vulnerabilidades de los manifiestos de las aplicaciones. Por lo tanto, es necesario diseñar una solución que abarque la seguridad y la evaluación del cumplimiento normativo en los artefactos.

Code Risk Analyzer escanea los repositorios de código fuente basados en Git en busca de código Python, Node.js y Java y realiza comprobaciones de vulnerabilidades, comprobaciones de administración de licencias y comprobaciones de cumplimiento de CIS (Center for Internet Security) en configuraciones de despliegue y genera una «lista de materiales» para todas las dependencias y sus fuentes. Los archivos Terraform utilizados para provisionar servicios en la nube, como Cloud Object Store, se escanean en búsqueda de alguna configuración de seguridad incorrecta.

IBM trató de anclar los controles de seguridad en estándares como NIST o CIS y aplanar la curva de aprendizaje al tiempo que introducía a los usuarios a nuevas prácticas de seguridad. Los desarrolladores no tienen que comprender las definiciones y directivas de seguridad, además, se les proporciona feedback útil.