Prozkoumání nástrojů pro posouzení zabezpečení balíčků a licenční sazby
Od třetích stran je k dispozici několik nástrojů, které pomáhají vyhodnotit zabezpečení a hodnocení licencí softwarových balíčků.
Jak je popsáno v předchozí části, jedním z přístupů těchto nástrojů je poskytnutí centralizovaného úložiště artefaktů.
Kontrolu je možné provést kdykoli a zkontrolovat balíčky, které jsou součástí úložiště.
Druhý přístup používá nástroje, které prohledá balíčky použité v kanálu buildu.
Během procesu sestavení může nástroj kontrolovat balíčky sestavením a poskytovat okamžitou zpětnou vazbu k balíčkům, které se používají.
Kontrola balíčků v kanálu doručení
Při spouštění kanálu doručování je k dispozici nástroje pro kontrolu zabezpečení balíčků, komponent a zdrojového kódu. Tyto nástroje často budou používat artefakty sestavení během procesu sestavení a provádět kontroly. Nástroje můžou fungovat buď v místním úložišti artefaktů, nebo ve výstupu zprostředkujícího sestavení. Příklady pro každý z nich jsou například:
| Nástroj | Typ |
|---|---|
| Artefakty | Úložiště artefaktů |
| SonarQube | Nástroj pro analýzu statického kódu |
| Mend (Bolt) | Kontrola sestavení |
Konfigurace kanálu
Konfigurace kontroly typů licencí a ohrožení zabezpečení v kanálu se provádí pomocí vhodných úloh sestavení v nástrojích DevOps. Pro Azure DevOps se jedná o úlohy kanálu buildu.