Analyse af softwarekompositioner
Dette modul forklarer det grundlæggende i SCA (Software Composition Analysis), inspektion og validering af kodebaser for overholdelse af angivne standarder, implementering af GitHub Dependabot til automatiseret registrering af sårbarheder, integration af SCA-værktøjer som Mend (WhiteSource), Snyk og OWASP Dependency-Check i Azure Pipelines, automatisering af scanning af objektbeholderbilleder og fortolkning af sikkerhedsbeskeder fra scanningsværktøjer.
Læringsmål
Når du er færdig med dette modul, kan du:
Forstå Software Composition Analysis (SCA), og hvorfor det er vigtigt for at administrere open source-afhængigheder sikkert.
Undersøg og valider kodebaser for licensoverholdelse og sikkerhedssårbarheder ved hjælp af automatiserede værktøjer.
Implementer GitHub Dependabot for automatisk at registrere sårbare afhængigheder og oprette pullanmodninger om sikkerhedsopdateringer.
Integrer kontroller af analyse af softwaresammensætning i Azure Pipelines for at scanne afhængigheder under build- og udrulningsprocesser.
Undersøg og konfigurer SCA-værktøjer, herunder Mend (WhiteSource), Snyk, OWASP Dependency-Check og Azure Artifacts upstream-kilder.
Automatiser scanning af objektbeholderafbildninger for at registrere sårbarheder i basisafbildninger og programafhængigheder.
Fortolk beskeder fra scanningsværktøjer, og prioriter afhjælpning baseret på alvorsgrad, udnyttelsesmuligheder og forretningspåvirkning.
Forudsætninger
Ingen
Kom i gang med Azure
Vælg den Azure-konto, der passer til dig. Betal, mens du er på farten, eller prøv Azure gratis i op til 30 dage. Log på.