評估套件安全性和授權分級的檢查工具
協力廠商提供數個工具,可協助您評估軟體套件的安全性和授權分級。
如上一節所述,這些工具的其中一種方法是提供集中式成品存放庫。
可隨時掃描,檢查存放庫的套件部分。
第二種方法會使用工具來掃描組建管線中使用的套件。
在建置流程中,此工具可依組建掃描套件,提供針對使用中套件的即時意見反應。
檢查傳遞管線中的套件
執行傳遞管線時,有工具可用來對套件、元件和原始程式碼進行安全性掃描。 這類工具通常會在建置流程中使用組建成品,並進行掃描。 此工具可以在本機成品存放庫或中繼組建輸出上運作。 各自的範例包括如下的產品:
| 工具 | 類型 |
|---|---|
| Artifactory | 成品存放庫 |
| SonarQube | 靜態程式碼分析工具 |
| Mend (Bolt) | 建置掃描。 |
設定管線
在 DevOps 工具中使用適當建置工作,可設定掃描管線中的授權類型和安全性弱點。 對於 Azure DevOps,這會是組建管線工作。