Integrar o Mend com o Azure Pipelines

  • 4 minutos

O Visual Studio Code Marketplace é um site importante para resolver problemas de Secure DevOps. Você pode integrar produtos de segurança especializados em seu pipeline de DevOps do Azure.

Ter um conjunto completo de extensões que permitem uma integração perfeita no Azure Pipelines é inestimável.

Emenda

A extensão Mend está disponível no Azure DevOps Marketplace. Usando o Mend, você pode integrar extensões com seu pipeline de CI/CD para resolver problemas relacionados à segurança do Secure DevOps.

A extensão Mend aborda especificamente as preocupações de segurança, qualidade e conformidade de licença de código aberto para uma equipe que consome pacotes externos.

Como a maioria das violações tem como alvo vulnerabilidades conhecidas em componentes padrão, ferramentas robustas são essenciais para proteger componentes complexos de código aberto.

Detete continuamente todos os componentes de código aberto em seu software

O Mend deteta automaticamente todos os componentes de código aberto, incluindo suas dependências transitivas, sempre que você executa uma compilação.

Isso significa que você pode gerar um relatório de inventário abrangente em poucos minutos com base na última compilação executada.

Ele também dá visibilidade completa às suas equipes de segurança, DevOps e jurídicas no processo de desenvolvimento de software da sua organização.

Screenshot of the WhiteSource component Inventory Report.

Receba alertas sobre vulnerabilidades de segurança de código aberto

O Mend gera automaticamente um alerta e fornece orientação de correção direcionada quando uma nova vulnerabilidade de segurança é descoberta.

Ele pode incluir links para patches, correções, arquivos de origem relevantes, até mesmo recomendações para alterar a configuração do sistema para evitar a exploração.

Screenshot of the WhiteSource Vulnerabilities Severity library.

Aplique automaticamente políticas de segurança e conformidade de licenças de código aberto

De acordo com as políticas de uma empresa, o Mend aprova, rejeita ou aciona automaticamente um processo de aprovação manual toda vez que um novo componente de código aberto é adicionado a uma compilação.

Os desenvolvedores podem configurar políticas com base em parâmetros como gravidade da vulnerabilidade de segurança, tipo de licença ou idade da biblioteca.

Quando um desenvolvedor adiciona um componente de código aberto problemático, o serviço alerta e falha na compilação.

Para pesquisar repositórios on-line, como GitHub e Maven Central, o Mend também oferece uma extensão de navegador inovadora.

Antes de escolher um novo componente, um desenvolvedor pode analisar suas vulnerabilidades de segurança, qualidade, problemas de licença e se ele se encaixa nas políticas de sua empresa.