Explore a validação de segurança contínua
Hoje, os desenvolvedores não hesitam em usar componentes disponíveis em fontes de pacotes públicos (como npm ou NuGet).
Com entrega mais rápida e melhor produtividade, os componentes de software de código aberto (OSS) são incentivados em muitas organizações.
No entanto, à medida que a dependência desses componentes OSS de terceiros aumenta, o risco de vulnerabilidades de segurança ou requisitos de licença ocultos também aumenta os problemas de conformidade.
Para uma empresa, é fundamental, pois questões relacionadas à conformidade, responsabilidades e dados pessoais do cliente podem causar muitas preocupações de privacidade e segurança.
Identificar esses problemas no início do ciclo de lançamento fornece um aviso avançado e tempo suficiente para corrigir os problemas. Notavelmente, o custo de corrigir problemas é menor quanto mais cedo o projeto descobre o problema.
Muitas ferramentas podem verificar essas vulnerabilidades dentro dos pipelines de compilação e lançamento.
Quando a mesclagem estiver concluída, a compilação de CI deve ser executada como parte do processo de solicitação pull (PR-CI).
Normalmente, a principal diferença entre as duas execuções é que o processo PR-CI não precisa de nenhum empacotamento/preparo na compilação de CI.
Essas compilações de CI devem executar testes de análise de código estático para garantir que o código siga todas as regras de manutenção e segurança.
Várias ferramentas podem ser usadas para isso:
- SonarQube.
- Análise de código do Visual Studio e os analisadores de segurança Roslyn.
- Checkmarx - Uma ferramenta de teste de segurança de aplicativos estáticos (SAST).
- BinSkim - Uma ferramenta de análise estática binária que fornece resultados de segurança e correção para executáveis portáteis do Windows e muito mais.
Muitas das ferramentas integram-se perfeitamente no processo de compilação do Azure Pipelines. Visite o Visual Studio Marketplace para obter mais informações sobre os recursos de integração dessas ferramentas.
Além disso, para verificar a qualidade do código com a compilação CI, duas outras validações tediosas ou ignoradas estão verificando pacotes de terceiros em busca de vulnerabilidades e uso de licenças OSS.
A resposta é medo ou incerteza quando perguntamos sobre vulnerabilidades e licenças de pacotes de terceiros.
As organizações que tentam gerenciar vulnerabilidades de pacotes de terceiros ou licenças OSS explicam que seu processo é tedioso e manual.
Felizmente, as ferramentas da Mend Software podem tornar esse processo de identificação quase instantâneo.
Em um módulo posterior, discutiremos a integração de várias ferramentas de segurança e conformidade úteis e comumente usadas.