Examinar as ferramentas para avaliar a segurança do pacote e a taxa de licença
Várias ferramentas estão disponíveis de terceiros para ajudar a avaliar a segurança e a classificação de licença dos pacotes de software.
Conforme discutido na seção anterior, uma abordagem dessas ferramentas é fornecer um repositório centralizado de artefatos.
A verificação pode ser feita a qualquer momento, inspecionando a parte dos pacotes do repositório.
A segunda abordagem usa ferramentas que verificam os pacotes usados em um pipeline de build.
Durante o processo de build, a ferramenta pode escanear os pacotes durante o build, fornecendo feedback instantâneo sobre os pacotes em uso.
Inspecionar pacotes no fluxo de entrega
Durante a execução de um pipeline de entrega, há ferramentas disponíveis para fazer verificações de segurança em pacotes, componentes e código-fonte. Muitas vezes, essas ferramentas usarão os artefatos de build durante o processo de build e farão verificações. As ferramentas podem funcionar em um repositório de artefatos local ou na saída de build intermediária. Alguns exemplos para cada um são produtos como:
| ferramenta | tipo |
|---|---|
| Artifactory | Repositório de artefatos |
| SonarQube | Uma ferramenta de análise de código estático |
| Mend (Bolt) | Realizar escaneamento. |
Configurar fluxo de trabalho
A configuração da verificação de tipos de licença e vulnerabilidade de segurança no pipeline é feita usando tarefas de build apropriadas em suas ferramentas de DevOps. Para o Azure DevOps, essas são tarefas de pipeline de build.