Sprawdzanie narzędzi do oceny poziomu zabezpieczeń i liczby licencji pakietu
Kilka narzędzi jest dostępnych od innych firm, aby ułatwić ocenę zabezpieczeń i licencji pakietów oprogramowania.
Jak wspomniano w poprzedniej sekcji, jednym z tych narzędzi jest udostępnienie scentralizowanego repozytorium artefaktów.
Skanowanie można wykonać w dowolnym momencie, sprawdzając część pakietu w repozytorium.
Drugie podejście używa narzędzi, które skanuje pakiety używane w potoku kompilacji.
Podczas procesu kompilacji narzędzie może skanować pakiety przez kompilację, udzielając natychmiastowych opinii na temat używanych pakietów.
Sprawdzanie pakietów w potoku dostarczania
Podczas uruchamiania potoku dostarczania dostępne jest narzędzia do skanowania zabezpieczeń pakietów, składników i kodu źródłowego. Często takie narzędzia używają artefaktów kompilacji podczas procesu kompilacji i wykonują skanowania. Narzędzia mogą działać w lokalnym repozytorium artefaktów lub danych wyjściowych kompilacji pośredniej. Niektóre przykłady dla każdego z nich to takie produkty jak:
| Tool (Narzędzie dostępu do centrum danych) | Type |
|---|---|
| Artefakt | Repozytorium artefaktów |
| SonarQube | Narzędzie do analizy kodu statycznego |
| Mend (Bolt) | Skanowanie kompilacji. |
Konfigurowanie potoku
Konfiguracja skanowania pod kątem typów licencji i luk w zabezpieczeniach potoku jest wykonywana przy użyciu odpowiednich zadań kompilacji w narzędziu DevOps. W przypadku usługi Azure DevOps są to zadania potoku kompilacji.