Sonar додав Secrets Detection до свого портфоліо інструментів для аналізу коду та робочих процесів DevOps, повідомляє DevOps.com.
Ця можливість, розроблена для застосування як для пошуку секретів у сховищах коду, так і для розробки застосунків із використанням інтегрованого середовища розробки (IDE), додається до SonarLint, SonarQube та керованої служби SonarCloud для ідентифікації. Наприклад, паролів, інтерфейсу програмування застосунків (API), ключів шифрування, маркерів, облікових даних бази даних та іншої приватної інформації.
«Хоча важливо відкривати секрети в кодових базах, Sonar докладає спільних зусиль, щоб спростити розробникам задачі, перш ніж вони потраплять у кодову базу, яка знаходиться за крок від робочого середовища. Інструмент статичного аналізу SonarLint, який надає компанія, тепер може відкривати секрети за мікросекунди за допомогою механізмів синтаксичного та семантичного аналізу, які компанія зараз розширила», –стверджують у Sonar.
Більшість організацій сьогодні знаходяться на різних етапах впровадження найкращих практик DevSecOps для покращення безпеки ланцюга постачання програмного забезпечення.
Незрозуміло, наскільки керування секретами сприймається як частина цих зусиль із модернізації, але оскільки кіберзлочинці регулярно сканують секрети програми, що зберігаються у відкритому тексті, які можуть бути використані для компрометації безпеки програми, потреба шифрування секретів стає більш пріоритетною.
Тим часом завдяки розвитку генеративного ШІ обсяг коду, який потрібно сканувати, ймовірно, експоненціально зросте. Проблема з платформами ШІ загального призначення, такими як ChatGPT, полягає в тому, що їх навчали з використанням коду різної якості, який часто містить уразливості, які тепер іноді включені в код, який вони генерують.
Позитивним є те, що багато розробників практично не мають досвіду безпеки застосунків, тому цілком можливо, що ChatGPT створить більш безпечний код, ніж розробник-людина. Незалежно від того, як було створено код, ніхто не дізнається напевно, наскільки він безпечний, не відсканувавши його попередньо.
Раніше ми повідомляли, що DevOps-платформа Copado додала до бета-програми для команд розробників, які створюють застосунки для платформи програмного забезпечення як послуги (SaaS) Salesforce, доступ до можливостей генеративного штучного інтелекту, що підтримує ChatGPT.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
