패키지 보안 및 라이선스 비율을 평가하기 위한 도구 검사
소프트웨어 패키지의 보안 및 라이선스 등급을 평가하는 데 도움이 되는 여러 도구가 타사에서 제공됩니다.
이전 섹션에서 설명한 것처럼 이러한 도구의 한 가지 방법은 중앙 집중식 아티팩트 리포지토리를 제공하는 것입니다.
언제든지 검사를 수행하여 리포지토리의 패키지 부분을 검사할 수 있습니다.
두 번째 방법은 빌드 파이프라인에 사용되는 패키지를 검사하는 도구를 사용합니다.
빌드 프로세스 중에 도구는 빌드별로 패키지를 검색하여 사용 중인 패키지에 대한 즉각적인 피드백을 제공할 수 있습니다.
배달 파이프라인에서 패키지 검사
배달 파이프라인을 실행하는 동안 패키지, 구성 요소 및 소스 코드에 대한 보안 검사를 수행할 수 있는 도구가 있습니다. 종종 이러한 도구는 빌드 프로세스 중에 빌드 아티팩트를 사용하여 스캔을 수행합니다. 도구는 로컬 아티팩트 리포지토리 또는 중간 빌드 출력에서 작동할 수 있습니다. 각각에 대한 몇 가지 예는 다음과 같은 제품입니다.
| 도구 | 형식 |
|---|---|
| 아티팩토리 | 아티팩트 리포지토리 |
| SonarQube | 정적 코드 분석 도구 |
| 멘드(볼트) | 빌드 스캐닝. |
파이프라인 구성
파이프라인의 라이선스 유형 및 보안 취약성에 대한 검색 구성은 DevOps 도구에서 적절한 빌드 작업을 사용하여 수행됩니다. Azure DevOps의 경우 빌드 파이프라인 작업입니다.