בחינת כלים להעריך את אבטחת החבילה ותעריף הרשיון
כמה כלים זמינים מספקים חיצוניים כדי לעזור להעריך את האבטחה ודירוג הרשיונות של חבילות התוכנה.
כפי שמתואר בסעיף הקודם, גישה אחת על-ידי כלים אלה היא לספק מאגר ממצאים מרכזי.
ניתן לבצע סריקה בכל עת, בבדיקת החבילות בחלק המאגר.
הגישה השניה משתמשת בכלי סריקה של החבילות המשמשות בצינור של גירסת Build.
במהלך תהליך גירסת ה- Build, הכלי יכול לסרוק את החבילות באמצעות גירסת ה- Build, ולתת משוב מיידי על החבילות בשימוש.
בדיקת חבילות בצינור המסירה
בעת הפעלת צינור מסירה, קיים כלי זמין לביצוע סריקות אבטחה בחבילות, ברכיבים ובקוד מקור. לעתים קרובות, כלי כזה ישתמש בממצאי גירסת ה- Build במהלך תהליך ה- Build ויבצע סריקות. הכלי יכול לעבוד במאגר ממצאים מקומי או בפלט גירסת ה- Build המתווך. להלן כמה דוגמאות למוצרים כגון:
| כלים | סוג |
|---|---|
| פריט פריט | מאגר פריטים |
| SonarQube | כלי ניתוח קוד סטטי |
| מנדי (בורג) | בנה סריקה. |
קביעת תצורה של צינור
קביעת התצורה של הסריקה לאיתור סוגי רשיונות ופגיעות אבטחה בצינור מתבצעת באמצעות משימות בנייה מתאימות בכלי DevOps שלך. עבור Azure DevOps, אלה הן משימות צינור של גירסת Build.