Analiza kompozycji oprogramowania
W tym module opisano podstawy analizy kompozycji oprogramowania (SCA), sprawdzanie i weryfikowanie baz kodu pod kątem zgodności, implementowanie narzędzia GitHub Dependabot na potrzeby automatycznego wykrywania luk w zabezpieczeniach, integrowanie narzędzi SCA, takich jak (WhiteSource), Snyk i OWASP Dependency-Check w usłudze Azure Pipelines, automatyzowanie skanowania obrazów kontenerów i interpretowanie alertów zabezpieczeń z narzędzi do skanowania.
Cele szkolenia
Po ukończeniu tego modułu możesz wykonywać następujące czynności:
Zapoznaj się z analizą kompozycji oprogramowania (SCA) i dlaczego ważne jest bezpieczne zarządzanie zależnościami typu open source.
Sprawdź i zweryfikuj bazy kodu pod kątem zgodności licencji i luk w zabezpieczeniach przy użyciu zautomatyzowanych narzędzi.
Zaimplementuj narzędzie GitHub Dependabot w celu automatycznego wykrywania zależności podatnych na zagrożenia i tworzenia żądań ściągnięcia na potrzeby aktualizacji zabezpieczeń.
Integracja kontroli analizy kompozycji oprogramowania z usługą Azure Pipelines w celu skanowania zależności podczas procesów kompilacji i wdrażania.
Zajmij się badaniem i konfiguracją narzędzi SCA, w tym Mend (WhiteSource), Snyk, OWASP Dependency-Check i źródeł nadrzędnych Azure Artifacts.
Zautomatyzuj skanowanie obrazów kontenera do wykrywania luk w zabezpieczeniach w obrazach podstawowych i zależnościach aplikacji.
Interpretowanie alertów z narzędzi do skanowania i określanie priorytetów korygowania na podstawie ważności, możliwości wykorzystania i wpływu na działalność biznesową.
Wymagania wstępne
Żaden
Rozpoczynanie pracy z platformą Azure
Wybierz konto Azure, które najbardziej Ci odpowiada. Płać na bieżąco lub wypróbuj platformę Azure bezpłatnie przez 30 dni. Zarejestruj się.