サポートされるスキャン・ツール
次の表は、統合されているさまざまなスキャンツールの一覧です。DevSecOps継続的なセキュリティ チェックと監視を提供するパイプライン。 これらのスキャンは、継続的統合 (CI)、継続的開発 (CD)、および継続的デプロイメント (CC) の各パイプラインのさまざまなステージで実行されます。
| ツール | スキャン | 説明 | スキャン タイプ |
|---|---|---|---|
| IBM Cloud コード・リスク・アナライザー | コード リスク アナライザー (CRA) は、コードの脆弱性と特定のルールへの準拠を分析します。 | CI/CC パイプラインの compliance checks ステージ|依存関係スキャン|CRA は、コードの脆弱性と特定のルールに準拠しているかどうかを分析します |
|
| 繕い | Mend スクリプトは、DevSecOps パイプラインで Mend Unified Agent の依存性スキャンを実行します。 | CI/CC パイプラインの compliance checks ステージ|依存性スキャン|Mend スクリプトは、Mend Unified Agent の依存性スキャンを実行します |
|
| 秘密を探る |Detect-secrets は、コードベース内の秘密を検出して、秘密漏えいを修正し、防止するクライアントサイドのセキュリティツールです。 | CI/CC パイプラインの detect secrets ステージ|スタティックスキャン|です |
||
| ゴセック | Gosec scan can be used to inspect Golang source code in your scanned repositories. | static scan stage of CI/CC pipelines |
Static scan |
| ソナークベ | SonarQube は、ソースコードの全体的な健全性と品質の概要を提供し、新しいコードで見つかった問題をハイライトします。 | CI/CC パイプラインの static scan 段階では、スタティック スキャンを行います |
|
| オワスプ・ザップ | Zed Attack Proxy (ZAP) は、OWASP の傘下で保守されている、フリーでオープンソースの侵入テスト (PEN) ツールです。 | CIパイプラインの owasp zap サブパイプラインと、CI/CCパイプラインの dynamic scan ステージ |
ダイナミック・スキャン |
| Sysdig |Sysdig スキャンは、Docker イメージ内の脆弱性 (CVEs) を識別するために Sysdig インライン スキャナーを使用します。 | CI/CC パイプラインの scan artifact ステージ|コンテナ イメージ スキャン|Sysdig スキャンは、Sysdig インライン スキャナを使用して、Docker イメージ内の脆弱性 (CVE) を特定します |
||
| IBM Cloud Vulnerability Advisor | DevSecOps パイプラインは、Vulnerability Advisor (VA) を使用して、Docker イメージ内の脆弱性 (CVE) を特定します。 | CI/CCパイプラインの scan artifact ステージ|コンテナイメージスキャン |
||
SLSA認証 |SLSA認証は、サプライチェーンの安全性を検証し、CI/CCパイプラインの構築| build artifact 段階|の証明性を提供するために提供される |