Esaminare strumenti per valutare la sicurezza dei pacchetti e il tasso di licenze
Diversi strumenti sono disponibili da terze parti per valutare la sicurezza e la classificazione delle licenze dei pacchetti software.
Come illustrato nella sezione precedente, un approccio di questi strumenti consiste nel fornire un repository di artefatti centralizzato.
L'analisi può essere eseguita in qualsiasi momento, ispezionando i pacchetti che fanno parte del repository.
Il secondo approccio usa strumenti che analizzano i pacchetti usati in una pipeline di compilazione.
Durante il processo di costruzione, lo strumento può analizzare i pacchetti durante la costruzione, fornendo feedback istantaneo sui pacchetti in uso.
Esaminare i pacchetti nella pipeline di consegna
Durante l'esecuzione di una pipeline di recapito, sono disponibili strumenti per eseguire analisi di sicurezza su pacchetti, componenti e codice sorgente. Spesso tali strumenti useranno gli artefatti di compilazione durante il processo di compilazione ed eseguiranno analisi. Gli strumenti possono operare su un repository di artefatti locale o sull'output di compilazione intermedio. Alcuni esempi per ognuno di essi sono prodotti come:
| Strumento | tipo |
|---|---|
| Artefatti | Repository di artefatti |
| SonarQube | Uno strumento di analisi del codice statico |
| Mend (Bolt) | Scansione della costruzione. |
Configurare la pipeline
La configurazione dell'analisi dei tipi di licenza e della vulnerabilità di sicurezza nella pipeline viene eseguita usando le attività di compilazione appropriate negli strumenti DevOps. Per Azure DevOps, si tratta di attività della pipeline di compilazione.