Explorar a validação de segurança contínua
Hoje, os desenvolvedores não hesitam em usar componentes disponíveis em fontes de pacotes públicos (como npm ou NuGet).
Com entrega mais rápida e melhor produtividade, os componentes de software livre (OSS) são incentivados em várias organizações.
No entanto, à medida que a dependência desses componentes de OSS de terceiros aumenta, o risco de vulnerabilidades de segurança ou requisitos de licença ocultos também aumenta os problemas de conformidade.
Para uma empresa, é fundamental, pois problemas relacionados à conformidade, ao passivo e aos dados pessoais do cliente podem causar muitas preocupações de privacidade e segurança.
Identificar esses problemas no início do ciclo de lançamento oferece um aviso avançado e tempo suficiente para corrigir os problemas. Notavelmente, o custo de corrigir problemas é menor quanto antes o projeto descobre o problema.
Muitas ferramentas podem verificar essas vulnerabilidades dentro dos pipelines de build e lançamento.
Depois que a mesclagem for concluída, o build de CI deverá ser executado como parte do processo de pull request (PR-CI).
Normalmente, a principal diferença entre as duas execuções é que o processo de PR-CI não precisa de empacotamento/preparo no build de CI.
Esses builds de CI devem executar testes de análise de código estático para garantir que o código siga todas as regras de manutenção e segurança.
Várias ferramentas podem ser usadas para ele:
- SonarQube.
- Análise de Código do Visual Studio e Analisadores de Segurança Roslyn.
- Checkmarx – Uma ferramenta SAST (Teste de Segurança de Aplicativo Estático).
- BinSkim – Uma ferramenta de análise estática binária que fornece resultados de segurança e correção para executáveis portáteis do Windows e muito mais.
Muitas das ferramentas se integram perfeitamente ao processo de build do Azure Pipelines. Visite o Visual Studio Marketplace para obter mais informações sobre os recursos de integração dessas ferramentas.
Além disso, para verificar a qualidade do código com a integração contínua (CI), duas outras validações tediosas ou ignoradas envolvem verificar pacotes de terceiros em busca de vulnerabilidades e uso de licenças de software de código aberto (OSS).
A resposta é medo ou incerteza quando perguntamos sobre vulnerabilidades e licenças de pacote de terceiros.
As organizações que tentam gerenciar vulnerabilidades de pacotes de terceiros ou licenças de OSS explicam que seu processo é entediante e manual.
Felizmente, as ferramentas da Mend Software podem tornar esse processo de identificação quase instantâneo.
Em um módulo posterior, discutiremos a integração de várias ferramentas de segurança e conformidade úteis e comumente usadas.