Анализ композиции программного обеспечения
В этом модуле описываются основы анализа композиции программного обеспечения (SCA), проверка баз кода для соответствия требованиям, реализация GitHub Dependabot для автоматического обнаружения уязвимостей, интеграция средств SCA, таких как Mend (WhiteSource), Snyk и OWASP Dependency-Check, в Azure Pipelines, автоматизация сканирования образов контейнеров и интерпретация оповещений безопасности от средств сканирования.
Цели обучения
К концу этого модуля вы можете:
Ознакомьтесь с анализом композиции программного обеспечения (SCA) и почему важно безопасно управлять зависимостями с открытым кодом.
Проверяйте и оценивайте кодовые базы на соответствие лицензиям и выявление уязвимостей в безопасности с помощью автоматизированных инструментов.
Реализуйте GitHub Dependabot для автоматического обнаружения уязвимых зависимостей и создания pull-запросов для обновлений безопасности.
Интеграция анализа композиции программного обеспечения в Azure Pipelines для проверки зависимостей во время сборки и развертывания.
Изучите и настройте средства SCA, включая Mend (WhiteSource), Snyk, OWASP Dependency-Check и вышестоящие источники Azure Artifacts.
Автоматизация сканирования образов контейнера для обнаружения уязвимостей в базовых образах и зависимостях приложений.
Интерпретировать оповещения от средств сканирования и приоритизировать устранение на основе серьезности, эксплуатируемости и бизнес-воздействия.
Предварительные требования
Никакой
Начало работы с Azure
Выберите подходящую вам учетную запись Azure. Используйте оплату по мере использования или попробуйте Azure бесплатно в течение 30 дней. Зарегистрируйтесь.