Sprawdzanie narzędzi do oceny zgodności z zabezpieczeniami pakietów i licencjami

  • 13 min

Dostępne są liczne narzędzia do analizy kompozycji oprogramowania, z których każda ma różne mocne strony, możliwości i podejścia do integracji. Wybranie odpowiedniego narzędzia wymaga zrozumienia określonych wymagań organizacji, przepływów pracy programistycznych, stosu technologii i budżetu. Ta lekcja analizuje wiodące narzędzia SCA i zawiera wskazówki dotyczące oceniania i wybierania odpowiedniego rozwiązania.

Wiodące narzędzia SCA

GitHub Dependabot

GitHub Dependabot to zintegrowane narzędzie do zarządzania zależnościami w usłudze GitHub, które zapewnia automatyczne alerty dotyczące luk w zabezpieczeniach i aktualizacje zależności.

Kluczowe możliwości:

  • Alerty dotyczące luk w zabezpieczeniach: Automatyczne alerty dotyczące zależności podatnych na zagrożenia oparte na bazie danych porad usługi GitHub.
  • Aktualizacje automatyczne: Tworzy żądania ściągnięcia automatycznie, aby naprawić luki w zabezpieczeniach i zaktualizować zależności.
  • Wykres zależności: Wizualizuje relacje zależności w interfejsie repozytorium GitHub.
  • Aktualizacje zabezpieczeń: Określa priorytety żądań ściągnięcia, które naprawiają luki w zabezpieczeniach.
  • Aktualizacje wersji: Utrzymuje aktualność zależności zgodnie z konfigurowalnymi harmonogramami.
  • Wyniki zgodności: Oblicza prawdopodobieństwo przerwania istniejących funkcji przez aktualizacje.

Możliwości integracji:

  • Natywna integracja z usługą GitHub: Głęboko zintegrowane z przepływami pracy usługi GitHub bez dodatkowej konfiguracji.
  • Przepływ pracy pull requestów: Używa standardowych procesów przeglądu i zatwierdzania pull requestów na GitHubie.
  • Wyzwalanie ciągłej integracji/ciągłego wdrażania: Żądania ściągnięcia automatycznie wyzwalają istniejące kontrole ciągłej integracji/ciągłego wdrażania.
  • Karta Zabezpieczenia: Scentralizowany pulpit nawigacyjny zabezpieczeń przedstawiający wszystkie alerty dotyczące luk w zabezpieczeniach.
  • Dostęp do API: GitHub API zapewnia programowy dostęp do alertów i aktualizacji Dependabot.

Model ustalania cen:

  • Bezpłatne repozytoria publiczne: Całkowicie bezpłatne w przypadku publicznych projektów open source.
  • Dołączone do usługi GitHub: Uwzględnione we wszystkich warstwach cenowych usługi GitHub dla repozytoriów prywatnych.
  • Brak dodatkowych kosztów: Brak opłat za dewelopera lub za projekt.

Limitations:

  • Tylko usługa GitHub: Wymaga użycia usługi GitHub do kontroli źródła; niedostępne dla innych platform.
  • Ograniczone wsparcie ekosystemu: Obsługuje typowe ekosystemy, ale nie są tak kompleksowe, jak narzędzia komercyjne.
  • Raportowanie podstawowe: Ograniczone raportowanie i analiza w porównaniu z rozwiązaniami komercyjnymi.
  • Brak skanowania binarnego: Analizuje tylko pliki manifestu; program nie skanuje skompilowanych plików binarnych ani kontenerów.
  • Ograniczona zgodność licencji: Wyświetla informacje o licencji, ale nie zawiera zaawansowanych funkcji zgodności.

Najlepiej nadaje się do:

  • Użytkownicy usługi GitHub: Zespoły już używają usługi GitHub do kontroli źródła.
  • Projekty typu open source: Repozytoria publiczne korzystają z bezpłatnego skanowania zabezpieczeń.
  • Proste przypadki użycia: Projekty z prostymi potrzebami w zakresie zarządzania zależnościami.

Mend (dawniej WhiteSource)

Mend to kompleksowa komercyjna platforma SCA podkreślająca zautomatyzowaną naprawę i przyjazne dla programistów przepływy pracy.

Kluczowe możliwości:

  • Zautomatyzowane korygowanie: Automatycznie generuje pull requesty, aby naprawić podatne zależności.
  • Efektywna analiza użycia: Określa, czy ścieżki kodu podatnego na zagrożenia są rzeczywiście wykonywane przez aplikację w celu zmniejszenia liczby wyników fałszywie dodatnich.
  • Zgodność licencji: Kompleksowe wykrywanie licencji i wymuszanie zasad w ponad 200 typach licencji.
  • Obsługa wielu języków: Obsługuje ponad 200 języków programowania i menedżerów pakietów.
  • Skanowanie kontenerów: Skanuje obrazy kontenerów pod kątem luk w zabezpieczeniach obrazów bazowych i zależności aplikacji.
  • Generowanie SBOM: Tworzy specyfikacje materiałowe oprogramowania w formatach CycloneDX i SPDX.

Możliwości integracji:

  • Wtyczki IDE: Skanowanie w czasie rzeczywistym w programie Visual Studio Code, IntelliJ IDEA, Eclipse i Visual Studio.
  • Integracja z CI/CD: Natywne wtyczki dla Azure Pipelines, GitHub Actions, Jenkins, GitLab CI, CircleCI i Travis CI.
  • Integracja repozytorium: Bezpośrednia integracja z usługami GitHub, GitLab, Bitbucket i Azure Repos.
  • Skanowanie repozytorium pakietów: Nawiązuje połączenie z usługą Azure Artifacts, Artifactory, Nexus na potrzeby skanowania na poziomie repozytorium.
  • Śledzenie problemów: Integracja z usługami Jira, ServiceNow i Azure Boards na potrzeby śledzenia luk w zabezpieczeniach.

Model ustalania cen:

  • Produkt komercyjny: Cennik oparty na subskrypcji na dewelopera lub na projekt.
  • Bezpłatny poziom: Mend Bolt oferuje ograniczoną funkcjonalność bezpłatną dla projektów open-source.
  • Licencjonowanie przedsiębiorstwa: Dostępne rabaty zbiorcze i niestandardowe umowy dla przedsiębiorstw.

Najlepiej nadaje się do:

  • Organizacje korporacyjne: Duże zespoły potrzebują kompleksowej analizy składników oprogramowania z zaawansowanymi funkcjami.
  • Branże regulowane: Organizacje wymagające szczegółowego raportowania zgodności i dzienników inspekcji.
  • Środowiska wielojęzyczne: Zespoły pracujące w różnych stosach technologicznych.

Snyk

Snyk to platforma zabezpieczeń skoncentrowana na deweloperach, która oferuje usługę SCA obok zabezpieczeń kontenerów, infrastruktury jako skanowania kodu i testowania zabezpieczeń aplikacji.

Kluczowe możliwości:

  • Środowisko deweloperskie: Podkreśla przyjazne dla deweloperów przepływy pracy i jasne wskazówki dotyczące korygowania.
  • Kompleksowa baza danych luk w zabezpieczeniach: Wyselekcjonowane bazy danych luk w zabezpieczeniach ze szczegółowymi poradami korygacyjnymi.
  • Naprawianie żądań ściągnięcia: Automatycznie tworzy żądania ściągnięcia z uaktualnieniami zależności, które naprawiają luki w zabezpieczeniach.
  • Analiza dostępności: Określa, czy funkcje podatne na zagrożenia są faktycznie wywoływane przez kod.
  • Zgodność licencji: Wykrywanie licencji i wymuszanie zasad przy użyciu zasad możliwych do dostosowania.
  • Zabezpieczenia kontenerów: Skanuje obrazy kontenerów i udostępnia zalecenia dotyczące obrazów podstawowych.
  • Infrastruktura jako kod: Skanuje szablony Terraform, CloudFormation, Kubernetes YAML i ARM.

Możliwości integracji:

  • Integracja z usługą Git: Głęboka integracja z usługami GitHub, GitLab, Bitbucket i Azure Repos.
  • Wtyczki CI/CD: Wtyczki dla usług Azure Pipelines, GitHub Actions, Jenkins, CircleCI, GitLab CI.
  • Rozszerzenia IDE: Wtyczki dla programu VS Code, IntelliJ IDEA, Visual Studio, Eclipse.
  • Rejestry kontenerów: Integruje się z usługą Docker Hub, Azure Container Registry, Amazon ECR, Google Container Registry.
  • Monitorowanie rozwiązania Kubernetes: Monitoruje wdrożone obciążenia Kubernetes pod kątem luk w zabezpieczeniach.

Model cenowy:

  • Warstwa Bezpłatna: Ograniczona warstwa bezpłatna dla poszczególnych deweloperów i małych projektów open source.
  • Plan dla zespołów: Ceny za dewelopera dla małych i średnich zespołów.
  • Biznes i przedsiębiorstwo: Zaawansowane funkcje, obsługa priorytetowa i dedykowane menedżery sukcesu.

Najlepiej nadaje się do:

  • Zespoły skoncentrowane na deweloperach: Zespoły ustalają priorytety środowiska deweloperów i integracji przepływu pracy.
  • Aplikacje natywne dla chmury: Organizacje intensywnie korzystają z kontenerów i platformy Kubernetes.
  • Kompleksowe zabezpieczenia: Zespoły, które chcą ujednoliconej platformy dla wielu typów testów zabezpieczeń.

Dependency-Check OWASP

OWASP Dependency-Check to bezpłatne narzędzie SCA typu open source obsługiwane przez społeczność OWASP (Open Web Application Security Project).

Kluczowe możliwości:

  • Wykrywanie luk w zabezpieczeniach: Identyfikuje zależności ze znanymi lukami w zabezpieczeniach przy użyciu krajowej bazy danych luk w zabezpieczeniach (NVD).
  • Obsługa wielu języków: Obsługuje języki Java, .NET, JavaScript, Ruby, Python i inne.
  • Identyfikacja CVE: Mapuje zależności na identyfikatory CVE z ocenami CVSS.
  • Pomijanie wyników fałszywie dodatnich: Plik pomijania oparty na formacie XML do zarządzania fałszywie dodatnimi.
  • Elastyczne raportowanie: Generuje raporty w formatach HTML, XML, CSV, JSON i SARIF.
  • Brak blokady dostawcy: Rozwiązanie typu open source bez kosztów licencjonowania ani zależności dostawcy.

Możliwości integracji:

  • Wtyczki narzędzi kompilacji: Wtyczka Maven, wtyczka Gradle, zadanie Ant dla narzędzi kompilacji Języka Java.
  • Integracja CI/CD: Interfejs wiersza polecenia można łatwo zintegrować z dowolnym potokiem przetwarzania CI/CD.
  • GitHub Actions: Funkcja GitHub Actions utrzymywana przez społeczność na potrzeby automatycznego skanowania.
  • Wtyczka serwera Jenkins: Oficjalna wtyczka jenkins do skanowania w czasie kompilacji.

Model cenowy:

  • Bezpłatne i open source: Całkowicie bezpłatnie bez kosztów licencjonowania.
  • Wsparcie społeczności: Wsparcie poprzez zgłoszenia GitHub, listy mailingowe i fora społeczności.
  • Obsługa komercyjna: Zewnętrzni dostawcy oferują obsługę komercyjną i usługi zarządzane.

Limitations:

  • Korygowanie ręczne: Nie ma automatycznego generowania pull requestów; deweloperzy muszą ręcznie usuwać luki w zabezpieczeniach.
  • Skanowanie ograniczonej licencji: Koncentruje się głównie na lukach w zabezpieczeniach, a nie na kompleksowej zgodności licencji.
  • Podstawowa osiągalność: Brak zaawansowanej analizy osiągalności w celu zmniejszenia liczby wyników fałszywie dodatnich.
  • Wydajność: Pełne skanowanie może być powolne, szczególnie w przypadku dużych projektów lub po pierwszym uruchomieniu.

Najlepiej nadaje się do:

  • Organizacje z ograniczonym budżetem: Zespoły, które nie mogą sobie pozwolić na komercyjne narzędzia SCA.
  • Projekty typu open source: Projekty preferujące narzędzia typu open source bez zależności dostawcy.
  • Podstawowe potrzeby w zakresie zabezpieczeń: Organizacje potrzebują podstawowego wykrywania luk w zabezpieczeniach bez zaawansowanych funkcji.

Black Duck (Synopsys)

Black Duck to komercyjna platforma SCA klasy korporacyjnej podkreślająca kompleksowe zarządzanie ryzykiem zabezpieczeń i licencji.

Kluczowe możliwości:

  • Głębokie skanowanie kodu: Analizuje skompilowane pliki binarne, kod źródłowy i obrazy kontenerów, aby odnaleźć zależności.
  • Analiza luk w zabezpieczeniach: Zastrzeżona baza danych luk w zabezpieczeniach ze szczegółowymi badaniami bezpieczeństwa.
  • Zgodność licencji: Kompleksowa ocena ryzyka licencji i wymuszanie zasad w ponad 2500 typach licencji.
  • Dopasowywanie składników: Binarna technologia odcisku palca identyfikuje składniki, nawet bez plików manifestu.
  • Wykrywanie fragmentów kodu: Identyfikuje fragmenty kodu skopiowane z projektów open source.
  • Analiza projektu: Zapewnia wgląd w stan konserwacji składników, kondycję społeczności i metryki jakości.

Możliwości integracji:

  • Narzędzie wykrywania: Elastyczne narzędzie wiersza polecenia obsługujące 30 języków i menedżerów pakietów.
  • Wtyczki CI/CD: Wtyczki dla platform Azure Pipelines, Jenkins, Bamboo, TeamCity oraz innych.
  • Integracja środowiska IDE: Wtyczki dla środowisk Eclipse, IntelliJ IDEA i Visual Studio.
  • Skanowanie repozytorium: Integruje się z repozytoriami Artifactory, Nexus i innymi repozytoriami pakietów.
  • Integracja rozwiązania SIEM: Integruje się z systemami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Model wyceny:

  • Licencjonowanie przedsiębiorstwa: Licencjonowanie przedsiębiorstwa oparte na subskrypcji z cenami dla poszczególnych projektów lub dla deweloperów.
  • Profesjonalne usługi: Dostępne usługi implementacji i dedykowana obsługa.
  • Brak darmowej wersji: Brak darmowej wersji; wymagane jest licencjonowanie komercyjne.

Najlepiej nadaje się do:

  • Organizacje przedsiębiorstwa: Duże przedsiębiorstwa wymagające kompleksowego zarządzania zabezpieczeniami i zgodnością.
  • Branże regulowane: Organizacje finansów, opieki zdrowotnej, lotnictwa z rygorystycznymi wymaganiami dotyczącymi zgodności.
  • M&A due diligence: Firmy przeprowadzające due diligence w ramach fuzji i przejęć wymagają głębokiej analizy kodu.

JFrog Xray

JFrog Xray to uniwersalne narzędzie do analizy kompozycji oprogramowania zintegrowane z narzędziem JFrog Artifactory na potrzeby skanowania repozytorium artefaktów.

Kluczowe możliwości:

  • Skanowanie artefaktów uniwersalnych: Skanuje dowolny typ artefaktu przechowywany w usłudze Artifactory, w tym kontenery, pakiety i artefakty kompilacji.
  • Skanowanie rekurencyjne: Analizuje zagnieżdżone zależności i osadzone komponenty.
  • Analiza wpływu: Śledzi, na które aplikacje mają wpływ składniki podatne na zagrożenia.
  • Aparat zasad: Elastyczny aparat zasad do definiowania reguł zabezpieczeń i zgodności.
  • Funkcja monitorowania: Monitoruje określone składniki lub repozytoria pod kątem nowych luk w zabezpieczeniach.
  • Automatyzacja metodyki DevOps: Integruje się z pipeline'ami ciągłej integracji/ciągłego wdrażania w celu wymuszania zasad w czasie kompilacji.

Możliwości integracji:

  • Integracja z JFrog Artifactory: Głęboka integracja z JFrog Artifactory dla scentralizowanego zarządzania artefaktami.
  • Wtyczki narzędzi kompilacji: Integracja narzędzi Maven, Gradle, npm,, NuGet i innych narzędzi kompilacji.
  • Integracja CI/CD: Jenkins, Azure Pipelines, GitHub Actions, GitLab CI.
  • Wtyczki IDE: Wtyczki IntelliJ IDEA, Eclipse, Visual Studio.
  • Interfejs API REST: Kompleksowy interfejs API REST na potrzeby integracji niestandardowych.

Model ustalania cen:

  • Produkt przedsiębiorstwa: Dołączone do subskrypcji JFrog Platform Enterprise+.
  • Cena pakietowa: Cennik obejmuje Artifactory, Xray i inne składniki platformy JFrog.
  • Brak opcji autonomicznej: Wymaga subskrypcji Artifactory.

Najlepiej nadaje się do:

  • Użytkownicy Artifactory: Organizacje korzystające już z JFrog Artifactory do zarządzania artefaktami.
  • Artefakty uniwersalne: Zespoły zarządzające różnymi typami artefaktów (kontenery, pakiety, pliki binarne).
  • Scentralizowany nadzór: Organizacje potrzebują scentralizowanego skanowania artefaktów i wymuszania zasad.

Sonatype Nexus Lifecycle

Sonatype Nexus Lifecycle zapewnia analizę kompozycji oprogramowania zintegrowaną z Menedżerem repozytorium Nexus.

Kluczowe możliwości:

  • Zarządzanie zasadami: Elastyczny aparat zasad dla wymagań dotyczących zabezpieczeń, licencji i jakości.
  • Zautomatyzowane korygowanie: Sugeruje alternatywne składniki z mniejszą liczbą luk w zabezpieczeniach.
  • Ciągłe monitorowanie: Stale monitoruje aplikacje pod kątem nowo ujawnionych luk w zabezpieczeniach.
  • Analiza licencji: Kompleksowa ocena ryzyka licencji i raportowanie zgodności.
  • Analiza składników: Ocena jakości, zabezpieczeń i ryzyka licencji dla składników.
  • Raportowanie kompozycji aplikacji: Szczegółowe raporty dotyczące zależności i czynników ryzyka aplikacji.

Możliwości integracji:

  • Repozytorium Nexus: Zintegrowane z Menedżerem Repozytorium Nexus dla proxy i zarządzania.
  • Wtyczki IDE: Wtyczki Eclipse, IntelliJ IDEA i Visual Studio.
  • Wtyczki ciągłej integracji/ciągłego wdrażania: Jenkins, Bamboo, Azure Pipelines, GitHub Actions integrations (Integracje funkcji Jenkins, Bamboo, Azure Pipelines, GitHub Actions).
  • Narzędzia kompilacji: Integracje narzędzi Maven, Gradle, npm, NuGet i pip.
  • Śledzenie problemów: Jira, integracja z usługą ServiceNow na potrzeby śledzenia luk w zabezpieczeniach.

Model cenowy:

  • Produkt komercyjny: Cennik oparty na subskrypcji na dewelopera lub aplikację.
  • Nexus bundling: Jest często kupowane w ramach subskrypcji Nexus Repository Pro/Enterprise.
  • Licencjonowanie przedsiębiorstwa: Indywidualne umowy Enterprise Agreement z rabatem ilościowym.

Najlepiej nadaje się do:

  • Użytkownicy repozytorium Nexus: Organizacje korzystające z Menedżera repozytorium Sonatype Nexus.
  • Fokus nadzoru: Zespoły ustalają priorytety ładu składników i wymuszania zasad.
  • Ciągłe monitorowanie: Organizacje wymagające ciągłego monitorowania aplikacji po wdrożeniu.

Kryteria wyboru narzędzi

Wybranie odpowiedniego narzędzia SCA wymaga oceny wielu czynników:

Wymagania funkcjonalne

Możliwości wykrywania luk w zabezpieczeniach:

  • Pokrycie bazy danych: Kompleksowa baza danych luk w zabezpieczeniach, w tym CVE, biuletyny zabezpieczeń i zastrzeżone badania.
  • Częstotliwość aktualizacji: Jak szybko nowe luki w zabezpieczeniach są dodawane do bazy danych po ujawnieniu opinii publicznej.
  • Współczynnik wyników fałszywie dodatnich: Dokładność wykrywania luk w zabezpieczeniach i możliwość pomijania wyników fałszywie dodatnich.
  • Analiza dostępności: Możliwość określenia, czy ścieżki kodu podatnego na zagrożenia są rzeczywiście używane.

Funkcje zgodności licencji:

  • Wykrywanie licencji: Możliwość identyfikowania licencji z wielu źródeł (metadanych, plików licencji, nagłówków).
  • Baza danych licencji: Zakres typów licencji, w tym nietypowych i niestandardowych licencji.
  • Wymuszanie zasad: Elastyczny mechanizm zasad do definiowania kryteriów przyjęcia licencji.
  • Raportowanie zgodności: Szczegółowe raporty dotyczące zespołów prawnych i audytorów.

Wskazówki dotyczące korygowania:

  • Rekomendacje dotyczące poprawek: Konkretne zalecenia wersji, które rozwiązują luki w zabezpieczeniach.
  • Aktualizacje automatyczne: Możliwość automatycznego tworzenia pull requestów z poprawkami.
  • Sugestie alternatywne: Zalecenia dotyczące zastępowania składników podatnych na zagrożenia lub problematyczne.
  • Analiza ścieżek aktualizacji: Wskazówki dotyczące poruszania się po zmianach powodujących przerwanie kompatybilności podczas aktualizowania zależności.

Możliwości integracji

Integracja narzędzia programistycznego:

  • Wtyczki IDE: Opinie w czasie rzeczywistym w środowiskach IDE deweloperów (VS Code, IntelliJ, Visual Studio).
  • Obsługa platformy Git: Integracja z usługami GitHub, GitLab, Bitbucket i Azure Repos.
  • Zgodność CI/CD: Wtyczki dla platform Azure Pipelines, GitHub Actions, Jenkins, GitLab CI.
  • Obsługa narzędzi kompilacji: Integracja z narzędziami Maven, Gradle, npm,, NuGet itp.

Możliwości automatyzacji:

  • Dostępność interfejsu API: Interfejs API REST na potrzeby integracji niestandardowych i automatyzacji.
  • Webhooki: Powiadomienia o zdarzeniach dotyczące alertów o lukach w zabezpieczeniach i naruszeń zasad.
  • Zaplanowane skanowanie: Możliwość uruchamiania skanowania według harmonogramów niezależnie od kompilacji.
  • Automatyzacja raportowania: Automatyczne generowanie i dystrybucja raportów.

Zasięg technologiczny

Obsługa języka i ekosystemu:

  • Języki programowania: Obsługa wszystkich języków używanych w organizacji.
  • Menedżerowie pakietów: Pokrycie ekosystemów pakietów (npm, PyPI, Maven, NuGet, RubyGems itp.).
  • Obsługa kontenerów: Możliwość skanowania obrazów kontenerów i plików Dockerfile.
  • Infrastruktura jako kod: Skanowanie manifestów programu Terraform, CloudFormation i Kubernetes.

Obsługa typów artefaktów:

  • Kod źródłowy: Skanowanie repozytoriów źródłowych i plików manifestu.
  • Skompilowane pliki binarne: Analizowanie skompilowanych artefaktów (JAR, DLL, wykonywalnych).
  • Obrazy kontenerów: Skanowanie obrazów kontenerów w rejestrach.
  • Wdrożone aplikacje: Monitorowanie wdrożonych aplikacji w środowiskach uruchomieniowych.

Zagadnienia operacyjne

Charakterystyka wydajności:

  • Szybkość skanowania: Czas wymagany do ukończenia skanowania typowych projektów.
  • Skanowanie przyrostowe: Możliwość skanowania tylko zmienionych zależności.
  • Buforowanie: Mechanizmy buforowania w celu przyspieszenia powtarzających się skanowań.
  • Skalowalność: Możliwość obsługi dużych organizacji z tysiącami projektów.

Czynniki użyteczności:

  • Krzywa uczenia: Czas potrzebny zespołom na biegłość przy użyciu narzędzia.
  • Jakość panelu: Jasność i użyteczność paneli luk w zabezpieczeniach i raportów.
  • Zmęczenie alertami: Możliwość zmniejszenia szumu dzięki inteligentnej priorytetyzacji.
  • Dokumentacja: Jakość i kompletność dokumentacji użytkownika.

Pomoc techniczna i konserwacja:

  • Obsługa dostawcy: Dostępność i jakość pomocy technicznej dostawcy.
  • Pomoc techniczna społeczności: Aktywna społeczność użytkowników dla narzędzi open source.
  • Częstotliwość aktualizacji: Jak często narzędzie otrzymuje aktualizacje i ulepszenia funkcji.
  • Długoterminowa trwałość: Stabilność finansowa dostawcy i plan rozwoju produktu.

Zagadnienia dotyczące kosztów

Modele licencjonowania:

  • Cennik dla deweloperów: Koszt oparty na liczbie deweloperów korzystających z narzędzia.
  • Cennik poszczególnych projektów: Koszt na podstawie liczby skanowanych projektów lub aplikacji.
  • Cennik użycia: Koszt na podstawie rzeczywistego użycia (wykonane skanowania, przeanalizowane zależności).
  • Licencjonowanie przedsiębiorstw: Umowy ryczałtowe dla dużych organizacji.

Całkowity koszt posiadania:

  • Koszty licencji: Bezpośrednie licencjonowanie oprogramowania lub opłaty za subskrypcję.
  • Koszty implementacji: Instalacja, konfiguracja i integracja.
  • Koszty szkolenia: Czas i wydatki na szkolenia deweloperów i zespoły ds. zabezpieczeń.
  • Koszty konserwacji: Bieżące działania związane z administracją i zarządzaniem zasadami.
  • Koszty infrastruktury: Zasoby obliczeniowe wymagane do uruchamiania skanowania (szczególnie w przypadku narzędzi lokalnych).

Czynniki ROI:

  • Zmniejszenie luk w zabezpieczeniach: Wykazano zmniejszenie liczby zdarzeń związanych z bezpieczeństwem.
  • Oszczędności zgodności: Zmniejszono ryzyko prawne i koszty inspekcji.
  • Produktywność deweloperów: Czas oszczędzony dzięki automatyzacji a procesom ręcznym.
  • Zapobieganie zdarzeniu: Uniknąć kosztów, zapobiegając naruszeniom zabezpieczeń.

GitHub Advanced Security

Usługa GitHub Advanced Security zapewnia zintegrowaną, kompleksową platformę zabezpieczeń wbudowaną bezpośrednio w usługę GitHub, oferującą funkcje klasy korporacyjnej na potrzeby zabezpieczeń łańcucha dostaw oprogramowania.

Podstawowe możliwości

Zabezpieczenia zależności:

  • Dependabot Alerty: Automatyczne wykrywanie luk w zabezpieczeniach dla zależności z integracją bazy danych CVE.
  • Aktualizacje zabezpieczeń dependabota: Zautomatyzowane żądania ściągnięcia w celu skorygowania zależności narażonych na zagrożenia.
  • Aktualizacje wersji narzędzia Dependabot: Zaplanowane żądania pobrania, aby bieżące zależności były aktualne.
  • Wykres zależności: Wizualna reprezentacja wszystkich zależności i ich relacji.
  • Przegląd zależności: Kontrole żądań pull, które podkreślają wpływ zmian zależności na zabezpieczenia.

Zabezpieczenia kodu:

  • Skanowanie kodu: Analiza statyczna przy użyciu języka CodeQL w celu wykrywania luk w zabezpieczeniach, błędów kodowania i problemów z jakością w kodzie źródłowym.
  • Skanowanie sekretów: Wykrywanie przypadkowo zatwierdzonych poświadczeń, kluczy API, tokenów i poufnych danych w kodzie i historii zatwierdzeń.
  • Porady dotyczące bezpieczeństwa: Prywatne zgłaszanie luk w zabezpieczeniach i skoordynowany przepływ pracy ujawniania luk.
  • Obsługa SARIF: Ujednolicony format integrowania narzędzi zabezpieczeń innych firm z usługą GitHub Security.

Zabezpieczenia kontenerów:

  • Skanowanie kontenerów: Wykrywanie luk w zabezpieczeniach w obrazach kontenerów przechowywanych w usłudze GitHub Container Registry.
  • Analiza Dockerfile: Kontrola zabezpieczeń konfiguracji Dockerfile oraz luk w zabezpieczeniach obrazu bazowego.
  • Integracja rejestru: Automatyczne skanowanie obrazów wypychanych do GitHub Container Registry.

Korzyści z integracji platformy

Natywna integracja z usługą GitHub:

  • Omówienie zabezpieczeń: Pulpit nawigacyjny dla całej organizacji przedstawiający stan zabezpieczeń we wszystkich repozytoriach.
  • Ujednolicone alerty: Jedno miejsce dla wszystkich wyników zabezpieczeń (skanowanie kodu, skanowanie tajnych danych, Dependabot).
  • Integracja pull requestów: Kontrole zabezpieczeń uruchamiają się automatycznie na pull requestach z wbudowanymi adnotacjami.
  • Ochrona gałęzi: Wymagaj, aby skany zabezpieczeń były pomyślnie zakończone przed scaleniem kodu.
  • Właściciele kodu: Przypisz członków zespołu ds. zabezpieczeń, aby przejrzeć pliki wrażliwe na zabezpieczenia.

Środowisko deweloperskie:

  • Konfiguracja zerowa: Dependabot nie wymaga żadnej konfiguracji; włącz za pomocą jednego kliknięcia.
  • Alerty kontekstowe: Wyniki zabezpieczeń są wyświetlane bezpośrednio w przepływie pracy tworzenia, w którym pracują deweloperzy.
  • Sugestie dotyczące automatycznej poprawki: Zautomatyzowane pull requesty poprawy zmniejszają nakład pracy ręcznej.
  • Mała liczba wyników fałszywie dodatnich: Wyselekcjonowane bazy danych luk w zabezpieczeniach zmniejszają hałas i zmęczenie alertami.
  • Zasoby szkoleniowe: Każdy alert zawiera szczegółowe opisy luk w zabezpieczeniach i wskazówki dotyczące korygowania.

Licencjonowanie i dostępność

Repozytoria publiczne:

  • Warstwa Bezpłatna: Wszystkie funkcje usługi GitHub Advanced Security są dostępne bezpłatnie w repozytoriach publicznych.
  • Korzyść społeczności: Projekty typu open source korzystają z narzędzi zabezpieczeń klasy korporacyjnej bez ponoszenia kosztów.

Repozytoria prywatne:

  • Licencja usługi GitHub Advanced Security: Wymagane dla repozytoriów prywatnych (dołączonych do usług GitHub Enterprise Cloud i GitHub Enterprise Server).
  • Dostęp do aplikacji Dependabot: Alerty dependabot i aktualizacje zabezpieczeń są dostępne we wszystkich planach usługi GitHub dla repozytoriów prywatnych.
  • Skanowanie kodu i skanowanie tajnych informacji: Wymagana jest licencja Advanced Security dla repozytoriów prywatnych.

Funkcje przedsiębiorstwa:

  • Włączanie całej organizacji: Skonfiguruj domyślne ustawienia zabezpieczeń dla wszystkich repozytoriów w organizacji.
  • Wymuszanie zasad: Wymagaj funkcji zabezpieczeń we wszystkich nowych repozytoriach.
  • Raportowanie zgodności: Generowanie raportów inspekcji dla struktur zgodności zabezpieczeń.
  • Menedżerowie zabezpieczeń: Wyznacz członków zespołu ds. zabezpieczeń z dostępem do odczytu wszystkich alertów dotyczących zabezpieczeń w organizacji.

Przypadki użycia i najlepsze rozwiązania

Idealny dla:

  • Przepływy pracy skoncentrowane na usłudze GitHub: Organizacje korzystające z usługi GitHub do kontroli wersji i współpracy.
  • Projekty typu open source: Repozytoria publiczne korzystają z bezpłatnych funkcji zabezpieczeń zaawansowanych.
  • Zespoły DevSecOps: Zespoły, które chcą zabezpieczeń zintegrowane bezpośrednio z przepływami pracy programowania.
  • Zabezpieczenia przedsiębiorstwa: Organizacje potrzebują ujednoliconego wglądu w zabezpieczenia w wielu repozytoriach.
  • Wymagania dotyczące zgodności: Zespoły wymagające dzienników inspekcji i wymuszania zasad zabezpieczeń.

Podejście do wdrożenia:

  1. Włącz grafikę zależności: Podstawa dla wszystkich funkcji Dependabot; włącz dla całej organizacji.
  2. Aktywuj alerty Dependabot: Zacznij od powiadomień o lukach w zabezpieczeniach, aby zrozumieć bieżący stan zabezpieczeń.
  3. Konfiguracja aktualizacji zabezpieczeń: Włącz automatyczne pull requesty dla luk w zabezpieczeniach o wysokim i krytycznym znaczeniu.
  4. Zaimplementuj skanowanie kodu: Dodaj zadanie CodeQL do potoku CI/CD dla analizy statycznej.
  5. Włącz skanowanie danych wrażliwych: Zapobiegaj wyciekom poświadczeń za pomocą automatycznego wykrywania.
  6. Przejrzyj i klasyfikowanie alertów: Ustanów procesy przeglądania, priorytetyzacji i korygowania ustaleń dotyczących bezpieczeństwa.
  7. Egzekwuj za pomocą ochrony gałęzi: Wymagaj, aby kontrole bezpieczeństwa przeszły przed zezwoleniem na scalanie kodu.

Macierz porównania narzędzi

Funkcja Zabezpieczenia zaawansowane w usłudze GitHub Naprawiać Snyk OWASP Dependency-Check Black Duck GitHub Dependabot JFrog Xray Cykl życia nexusa
Wykrywanie luk w zabezpieczeniach Doskonałe Doskonałe Doskonałe Dobrze Doskonałe Dobrze Doskonałe Doskonałe
Zgodność licencji Basic Doskonałe Dobrze Basic Doskonałe Basic Dobrze Doskonałe
Zautomatyzowane korygowanie Tak (Dependabot) Tak Tak Nie. Nie. Tak Limited Limited
Analiza dostępności Limited Tak Tak Nie. Limited Nie. Limited Limited
Skanowanie kontenerów Tak Tak Tak Limited Tak Nie. Tak Tak
Skanowanie kodu (SAST) Tak (CodeQL) Limited Limited Nie. Limited Nie. Limited Limited
Skanowanie sekretów Tak Limited Limited Nie. Nie. Nie. Limited Limited
Integracja środowiska IDE Tak (GitHub Codespaces) Tak Tak Nie. Tak Nie (natywna usługa GitHub) Tak Tak
Integracja CI/CD Doskonałe (GitHub Actions) Doskonałe Doskonałe Dobrze Doskonałe Doskonała (GitHub) Doskonałe Doskonałe
Obsługa wielu języków 20+ 200+ 30+ 20+ 30+ 15+ 30+ 25+
Ceny Bezpłatna (publiczna) / Enterprise Komercyjny Freemium Bezpłatna Komercyjny Bezpłatna (GitHub) Komercyjny Komercyjny
Najlepsze dla Organizacje usługi GitHub Enterprise Developers Świadomy budżetu Branże regulowane Użytkownicy usługi GitHub Użytkownicy Artifactory Użytkownicy aplikacji Nexus

Podejście do oceny

Wersja próbna i weryfikacja koncepcji:

  1. Identyfikowanie wymagań: Udokumentowanie określonych wymagań dotyczących zabezpieczeń, zgodności i integracji.
  2. Narzędzia listy krótkiej: Wybierz 2–3 narzędzia spełniające wymagania dotyczące szczegółowej oceny.
  3. Uruchamianie projektów pilotażowych: Narzędzia testowe z reprezentatywnymi projektami obejmującymi stos technologii.
  4. Mierzenie skuteczności: Oceń dokładność wykrywania luk w zabezpieczeniach, współczynniki wyników fałszywie dodatnich i jakość wskazówek dotyczących korygowania.
  5. Ocena integracji: Przetestuj integrację z istniejącymi narzędziami programistycznymi i przepływami pracy.
  6. Zbieranie opinii: Zbieraj opinie od deweloperów, zespołów ds. zabezpieczeń i pracowników operacyjnych.
  7. Obliczanie zwrotu z inwestycji: Szacowanie całkowitego kosztu posiadania i oczekiwanego zwrotu z inwestycji.
  8. Podejmowanie decyzji: Wybierz narzędzie zapewniające najlepszą kombinację funkcji, użyteczności, integracji i kosztów.

Wybranie odpowiedniego narzędzia Do analizy kompozycji oprogramowania wymaga starannego równoważenia możliwości funkcjonalnych, wymagań dotyczących integracji, pokrycia technologii, zagadnień operacyjnych i kosztów. Najlepsze narzędzie zależy od konkretnych potrzeb organizacji, istniejącego łańcucha narzędzi, stosu technologii i budżetu. Organizacje korzystające z GitHub czerpią korzyści ze ścisłej integracji GitHub Advanced Security z przepływami pracy deweloperskiej, podczas gdy użytkownicy wymagający rozbudowanych funkcji zgodności licencji mogą preferować rozwiązania komercyjne, takie jak Mend lub Black Duck. Wiele organizacji osiąga sukces, zaczynając od bezpłatnych lub tanich narzędzi, takich jak GitHub Dependabot lub OWASP Dependency-Check i uaktualnianie do rozwiązań komercyjnych w miarę wzrostu ich dojrzałości i wymagań. Usługa GitHub Advanced Security oferuje doskonałe funkcje zabezpieczeń klasy korporacyjnej z bezproblemową integracją z usługą GitHub. W następnej lekcji dowiesz się, jak zautomatyzować skanowanie obrazów kontenera w ramach kompleksowych praktyk SCA.