支援的掃描工具
下表列出了整合的各種掃描工具DevSecOps管道提供持續的安全檢查和監控。 這些掃描在 Continuous Integration (CI)、Continuous Development (CD) 及 Continuous Deployment (CC) 管線的不同階段執行。
| 工具 | 掃描 | 描述 | 掃描類型 |
|---|---|---|---|
| IBM Cloud程式碼風險分析器 | 程式碼風險分析器 (CRA) 分析您的程式碼是否有漏洞以及是否符合某些規則。 | compliance checks CI/CC 管道階段 |
依賴關係掃描 |
| 修補 | Mend 腳本在您的系統中執行 Mend Unified Agent 依賴性掃描DevSecOps管道。 | compliance checks CI/CC 管道階段 |
依賴關係掃描 |
| 檢測秘密 | Detect-secrets 是一種用戶端安全工具,可偵測程式碼庫中的秘密以修復和防止秘密外洩。 | detect secrets CI/CC 管道階段 |
靜態掃描 |
| 戈賽克 | Gosec 掃描可用於檢查掃描儲存庫中的 Golang 原始碼。 | static scan CI/CC 管道階段 |
靜態掃描 |
| 聲納庫 | SonarQube提供原始程式碼的整體運行狀況和品質的概述,並突出顯示新程式碼中發現的問題。 | static scan CI/CC 管道階段 |
靜態掃描 |
| 奧黃蜂電擊 | Zed Attack Proxy (ZAP) 是一個免費的開源滲透測試 (PEN) 工具,在 OWASP 的保護下維護。 | owasp zap CI 管道中的子管道和 dynamic scan CI/CC 管道階段 |
動態掃描 |
| 系統挖掘 | Sysdig 掃描使用 Sysdig 內嵌掃描器來識別其中的漏洞 (CVE)Docker圖片。 | scan artifact CI/CC 管道階段 |
容器鏡像掃描 |
| IBM CloudVulnerability Advisor | 這DevSecOps管道使用Vulnerability Advisor(VA) 辨識漏洞 (CVE)Docker圖片。 | scan artifact CI/CC 管道階段 |
容器鏡像掃描 |
| SLSA認證 | 提供 SLSA 證明來驗證供應鏈安全性並提供建置來源 | build artifact CI/CC 管道階段 |
容器鏡像掃描 |