Black Duck vừa ra mắt một ứng dụng GitHub mới, được thiết kế để giúp các đội ngũ phát triển và bảo mật dễ dàng tự động hóa việc kiểm tra an ninh trên các kho lưu trữ của họ. Ứng dụng Black Duck Security GitHub, hiện đã có mặt trên GitHub Marketplace, tích hợp với Polaris, Black Duck SCA và Coverity, giúp đơn giản hóa cả quá trình làm quen và đồng bộ hóa liên tục các kho lưu trữ GitHub.
Sự tích hợp này cho phép các nhóm cấu hình và chạy các kiểm tra bảo mật ứng dụng tĩnh (SAST) và phân tích thành phần phần mềm (SCA) trên các dự án ở quy mô lớn, cho dù trong môi trường SaaS hay tại chỗ. Bằng cách nhúng các kiểm tra bảo mật trực tiếp vào quy trình làm việc của nhà phát triển, Black Duck hướng đến việc cải thiện thời gian tạo ra giá trị và lợi tức đầu tư tổng thể cho khách hàng của mình.
Trong số các tính năng chính của nó, Ứng dụng GitHub hỗ trợ tích hợp hàng loạt kho lưu trữ, quét tự động được kích hoạt bởi các cam kết và yêu cầu kéo, đồng thời tích hợp kết quả trực tiếp vào các nhận xét yêu cầu kéo. Nó cũng cho phép các yêu cầu kéo sửa lỗi tự động đối với các lỗ hổng nguồn mở, thực thi chính sách tùy chỉnh để chặn các bản dựng có vi phạm và tích hợp báo cáo SARIF với bảng điều khiển GitHub Advanced Security.
Theo Black Duck, lợi ích cho các nhóm phát triển và bảo mật bao gồm đơn giản hóa việc mở rộng quy mô kiểm tra bảo mật trên toàn bộ danh mục ứng dụng, giảm nỗ lực cấu hình thủ công và giảm số lượng lỗi. Các nhà phát triển cũng có được quyền truy cập trực tiếp vào thông tin chi tiết về bảo mật và hướng dẫn khắc phục trong quy trình làm việc GitHub hiện có của họ.
Scott Johnson, Phó Chủ tịch Quản lý Sản phẩm tại Black Duck, cho biết: “Bằng cách tích hợp Black Duck với GitHub, chúng tôi trao quyền cho các nhà phát triển xây dựng phần mềm an toàn nhanh hơn và hiệu quả hơn bao giờ hết, đồng thời hỗ trợ phương pháp tiếp cận quy mô thực sự của chúng tôi cho cả môi trường tại chỗ và SaaS. Kết hợp chuyên môn bảo mật ứng dụng hàng đầu trong ngành của chúng tôi với nền tảng phát triển hợp tác của GitHub, chúng tôi cho phép khách hàng giảm thiểu rủi ro, tăng tốc độ phát triển và đạt được tư thế bảo mật mạnh mẽ hơn – đồng thời duy trì sự nhanh nhẹn và tốc độ mà quá trình phát triển phần mềm hiện đại yêu cầu.”
Ứng dụng Black Duck Security GitHub hiện đã hoạt động trên GitHub Marketplace, nơi các nhóm có thể bắt đầu tự động hóa thử nghiệm bảo mật ứng dụng của họ mà không cần rời khỏi hệ sinh thái GitHub.
Giải thích thuật ngữ:
- GitHub App: Một ứng dụng được tích hợp vào nền tảng GitHub để mở rộng chức năng và tự động hóa các tác vụ.
- Polaris, Black Duck SCA, Coverity: Các công cụ và giải pháp bảo mật ứng dụng của Black Duck, được sử dụng để phân tích và phát hiện các lỗ hổng bảo mật trong mã nguồn và các thành phần phần mềm.
- SaaS: Mô hình phân phối phần mềm trong đó ứng dụng được lưu trữ trên đám mây và người dùng truy cập thông qua internet.
- SAST (Static Application Security Testing): Phương pháp kiểm tra bảo mật bằng cách phân tích mã nguồn tĩnh để tìm ra các lỗ hổng.
- SCA (Software Composition Analysis): Phương pháp phân tích thành phần phần mềm để xác định các thành phần nguồn mở và các rủi ro bảo mật liên quan.
- SARIF: Một định dạng tiêu chuẩn cho các báo cáo phân tích tĩnh, cho phép tích hợp kết quả kiểm tra bảo mật vào các công cụ phát triển và bảo mật khác.
