Unterstützte Scantools
Die folgende Tabelle listet die verschiedenen Scan-Tools auf, die inDevSecOps Pipelines, um kontinuierliche Sicherheitskontrollen und -überwachung zu gewährleisten. Diese Scans werden in verschiedenen Phasen der Pipelines für Continuous Integration (CI), Continuous Development (CD) und Continuous Deployment (CC) ausgeführt.
Werkzeug | Scan | Beschreibung | Scantyp |
---|---|---|---|
IBM Cloud Code Risk Analyzer | Code Risk Analyzer (CRA) analysiert Ihren Code auf Schwachstellen und Einhaltung bestimmter Regeln. | compliance checks Stufe der CI/CC-Pipelines |
Dependency Scan |
Mend | Das Mend-Skript führt den Mend Unified Agent-Abhängigkeitsscan in Ihrer DevSecOps-Pipeline aus. | compliance checks Stufe der CI/CC-Pipelines |
Dependency scan |
Detect Secrets | Detect-secrets ist ein Client-seitiges Sicherheitstool, das Geheimnisse innerhalb einer Codebasis aufspürt, um Lecks zu beseitigen und zu verhindern. | detect secrets Stufe der CI/CC-Pipelines |
Static Scan |
Gosec | Gosec-Scan kann verwendet werden, um Golang-Quellcode in den gescannten Repositories zu untersuchen. | static scan Stufe der CI/CC-Pipelines |
Statischer Scan |
Sonarqube | SonarQube bietet einen Überblick über den allgemeinen Zustand und die Qualität des Quellcodes und hebt Probleme hervor, die in neuem Code gefunden werden. | static scan Stufe der CI/CC-Pipelines |
Statischer Scan |
Owasp Zap | Zed Attack Proxy (ZAP) ist ein freies und quelloffenes Tool für Penetrationstests (PEN), das unter dem Dach der OWASP gepflegt wird. | owasp zap Unterpipeline in der CI-Pipeline und dynamic scan Stufe der CI/CC-Pipelines |
Dynamic Scan |
Sysdig | Sysdig-Scan verwendet den Sysdig-Inline-Scanner, um Schwachstellen (CVEs) in Docker-Images zu identifizieren. | scan artifact Stufe der CI/CC-Pipelines |
Container Image scan |
IBM Cloud Vulnerability Advisor | Die DevSecOps Pipeline verwendet den Vulnerability Advisor (VA), um Schwachstellen (CVEs) in Docker-Images zu identifizieren. | scan artifact Stufe der CI/CC-Pipelines |
Container Image scan |
SLSA-Attestierung | SLSA-Attestierung wird bereitgestellt, um die Sicherheit der Lieferkette zu validieren und den Nachweis für die Build-Phase | build artifact der CI/CC-Pipelines zu erbringen |
Container Image Scan |