Examen de herramientas para evaluar la seguridad de los paquetes y la tasa de licencias
Hay varias herramientas disponibles de terceros para ayudar a evaluar la seguridad y la clasificación de licencias de los paquetes de software.
Como se explicó en la sección anterior, un enfoque de estas herramientas es proporcionar un repositorio de artefactos centralizado.
El escaneo se puede realizar en cualquier momento, inspeccionando los paquetes del repositorio.
El segundo enfoque usa herramientas que examinan los paquetes usados en una canalización de compilación.
Durante el proceso de compilación, la herramienta puede escanear los paquetes durante la construcción, proporcionando retroalimentación instantánea sobre los paquetes en uso.
Inspección de paquetes en la canalización de entrega
Al ejecutar una canalización de entrega, hay herramientas disponibles para realizar exámenes de seguridad en paquetes, componentes y código fuente. A menudo, estas herramientas usarán los artefactos de compilación durante el proceso y realizarán escaneos. Las herramientas pueden funcionar en un repositorio de artefactos local o en la salida de compilación intermedia. Algunos ejemplos de cada uno son productos como:
| Herramienta | Tipo |
|---|---|
| Artefacto | Repositorio de artefactos |
| SonarQube | Una herramienta de análisis de código estático |
| Mend (Bolt) | Análisis de compilación. |
Configuración de la canalización
La configuración del análisis para tipos de licencia y vulnerabilidades de seguridad en el pipeline se realiza mediante el uso de tareas de compilación adecuadas en las herramientas de DevOps. Para Azure DevOps, se trata de tareas de canalización de compilación.