Examinar ferramentas para avaliar a classificação de segurança e licença do pacote
Há várias ferramentas de terceiros para ajudar a avaliar a segurança e a classificação de licença dos pacotes de software.
Como discutido na seção anterior, uma abordagem dessas ferramentas é fornecer um repositório de artefato centralizado.
O exame pode ser feito a qualquer momento, inspecionando os pacotes que fazem parte do repositório.
A segunda abordagem usa ferramentas que examinam os pacotes usados em um pipeline de build.
Durante o processo de build, a ferramenta pode examinar os pacotes pelo build, gerando comentários instantâneos sobre os pacotes em uso.
Inspecionar pacotes no pipeline de entrega
Durante a execução de um pipeline de entrega, há ferramentas disponíveis para fazer exames de segurança em pacotes, componentes e código-fonte. Geralmente, essas ferramentas usarão os artefatos de compilação durante o processo de build e farão exames. As ferramentas podem realizar o trabalho em um repositório de artefatos local ou na saída de build intermediária. Alguns exemplos de cada um são produtos como:
| Ferramenta | Tipo |
|---|---|
| Artifactory | Repositório de artefatos |
| SonarQube | Uma ferramenta de análise de código estático |
| Mend (Bolt) | Exame de build. |
Configurar pipeline
A configuração do exame de tipos de licença e vulnerabilidade de segurança no pipeline é feita usando tarefas de build apropriadas nas ferramentas de DevOps. Para Azure DevOps, são tarefas de pipeline de build.