Examiner les outils pour évaluer la sécurité des packages et le taux de licences
Plusieurs outils tiers sont disponibles pour évaluer la sécurité des packages logiciels et leur niveau de licence.
Comme nous l’avons vu dans la section précédente, une approche de ces outils consiste à fournir un référentiel d’artefacts centralisé.
L’analyse peut être effectuée à tout moment, en inspectant les packages qui font partie du référentiel.
La deuxième approche consiste à utiliser des outils qui analysent les packages utilisés dans un pipeline de build.
Pendant le processus de génération, l’outil peut analyser les packages par la build, ce qui donne des commentaires instantanés sur les packages en cours d’utilisation.
Inspecter les packages dans le pipeline de remise
Lors de l’exécution d’un pipeline de livraison, divers outils permettent d’analyser la sécurité des packages, des composants et du code source. Ces outils utilisent souvent les artefacts de build pendant le processus de génération et effectuent des analyses. Les outils peuvent utiliser un référentiel d’artefacts local ou la sortie de builds intermédiaires. Voici quelques exemples pour chacun de ces produits :
| Outil | Type |
|---|---|
| Artifactory | Référentiel d’artefacts |
| SonarQube | Outil d’analyse de code statique |
| Mend (Bolt) | Analyse de build. |
Configurer le pipeline
La configuration de l’analyse des types de licence et des vulnérabilités de sécurité dans le pipeline s’effectue à l’aide des tâches de génération appropriées dans vos outils de DevOps. Pour Azure DevOps, il s’agit de tâches de pipeline de build.