IBM Cloud Docs
Unterstützte Scantools

Unterstützte Scantools

Die folgende Tabelle listet die verschiedenen Scan-Tools auf, die inDevSecOps Pipelines, um kontinuierliche Sicherheitskontrollen und -überwachung zu gewährleisten. Diese Scans werden in verschiedenen Phasen der Pipelines für Continuous Integration (CI), Continuous Development (CD) und Continuous Deployment (CC) ausgeführt.

Tabelle 1. Liste der unterstützten Scan-Tools
Werkzeug Scan Beschreibung Scantyp
IBM Cloud Code Risk Analyzer Code Risk Analyzer (CRA) analysiert Ihren Code auf Schwachstellen und Einhaltung bestimmter Regeln. compliance checks Stufe der CI/CC-Pipelines Dependency Scan
Mend Das Mend-Skript führt den Mend Unified Agent-Abhängigkeitsscan in Ihrer DevSecOps-Pipeline aus. compliance checks Stufe der CI/CC-Pipelines Dependency scan
Detect Secrets Detect-secrets ist ein Client-seitiges Sicherheitstool, das Geheimnisse innerhalb einer Codebasis aufspürt, um Lecks zu beseitigen und zu verhindern. detect secrets Stufe der CI/CC-Pipelines Static Scan
Gosec Gosec-Scan kann verwendet werden, um Golang-Quellcode in den gescannten Repositories zu untersuchen. static scan Stufe der CI/CC-Pipelines Statischer Scan
Sonarqube SonarQube bietet einen Überblick über den allgemeinen Zustand und die Qualität des Quellcodes und hebt Probleme hervor, die in neuem Code gefunden werden. static scan Stufe der CI/CC-Pipelines Statischer Scan
Owasp Zap Zed Attack Proxy (ZAP) ist ein freies und quelloffenes Tool für Penetrationstests (PEN), das unter dem Dach der OWASP gepflegt wird. owasp zap Unterpipeline in der CI-Pipeline und dynamic scan Stufe der CI/CC-Pipelines Dynamic Scan
Sysdig Sysdig-Scan verwendet den Sysdig-Inline-Scanner, um Schwachstellen (CVEs) in Docker-Images zu identifizieren. scan artifact Stufe der CI/CC-Pipelines Container Image scan
IBM Cloud Vulnerability Advisor Die DevSecOps Pipeline verwendet den Vulnerability Advisor (VA), um Schwachstellen (CVEs) in Docker-Images zu identifizieren. scan artifact Stufe der CI/CC-Pipelines Container Image scan
SLSA-Attestierung SLSA-Attestierung wird bereitgestellt, um die Sicherheit der Lieferkette zu validieren und den Nachweis für die Build-Phase build artifact der CI/CC-Pipelines zu erbringen Container Image Scan