гаджетыНовостиразработчиктехнология

Sonatype Lift интегрирует Facebook Infer, Google ErrorProne и другие анализаторы кода

По словам Sonatype, недавно запущенная Sonatype Lift предоставляет унифицированную платформу анализа кода, которая включает в себя более 25 инструментов, которые помогают разработчикам как можно скорее выявлять широкий спектр ошибок в своих конвейерах разработки.

Sonatype Lift интегрируется с GitHub, GitLab и BitBucket, чтобы сообщать о результатах своего анализа в экспертных обзорах кода, прикрепленных к запросам на вытягивание. Такое поведение является ключевым для эффективности Sonatype Lift, говорит Sonatype, поскольку экспертная оценка доказала, что скорость исправления ошибок увеличивается в 70 раз.

Lift включает более 25 инструментов, включая Google ErrorProne, Facebook Infer и многие другие, и работает с 11 языками, включая Java, C / C ++, JavaScript, Python, Golang, Ruby, Kotlin, Haskell и другие.

Помимо анализа вашей собственной базы кода, Sonatype Lift также проверяет зависимости с открытым исходным кодом, на которые вы полагаетесь, извлекая данные о составе программного обеспечения (SCA) из [Sonatype’s OSS INDEX](Индекс OSS Sonatype)

(https://ossindex.sonatype.org). Это позволяет Lift сообщать об уязвимых библиотеках с открытым исходным кодом и включать их в качестве комментариев в обзоры кода.

Чтобы узнать больше, InfoQ поговорила со Стивеном Мэджиллом, вице-президентом по инновациям в продуктах Sonatype.

InfoQ: Sonatype Lift интегрируется с основными платформами хостинга кода. Как это сочетается с функциями, которые эти платформы предоставляют, чтобы помочь разработчикам обнаруживать ошибки и уязвимости? Какие дополнительные преимущества могут ожидать команды разработчиков от внедрения Sonatype Lift?

Magill: По сравнению с собственными решениями Sonatype Lift обеспечивает более широкий анализ, более глубокий анализ и более расширяемые возможности, когда дело доходит до помощи разработчикам в обнаружении ошибок и уязвимостей. Sonatype Lift выявляет более широкий спектр проблем, а также выходит за рамки простого линтинга, чтобы выявить малозаметные и серьезные ошибки, которые охватывают файлы, такие как проблемы с безопасностью потоков и утечки ресурсов.

DevSecOps и ShiftLeft становятся все более популярными среди команд разработчиков программного обеспечения. Как можно раньше обнаружение ошибок и уязвимостей является ключом к повышению безопасности системы. Не могли бы вы прокомментировать текущий контекст безопасности программного обеспечения?

Magill: Sonatype Lift построен на предпосылке сдвига анализа кода влево и обеспечения безопасности в рабочем процессе разработчика, поэтому эти термины применимы. Lift – это поиск и исправление ошибок всех видов, включая ошибки безопасности, как можно раньше и таким образом, чтобы разработчикам было проще их исправить. Мы считаем, что правильное взаимодействие с разработчиком является важной частью эффективных усилий по сдвигу влево, и основная цель Lift заключается в предоставлении правильных результатов (ошибок, которые волнуют разработчиков) в нужное время (сразу после написания кода) и в правильном контексте (представлены в виде комментариев при обзоре кода). Было показано, что эта комбинация увеличивает количество исправлений ошибок, не влияя на скорость разработки.

Lift создан для разработчиков и поэтому ориентирован на низкий уровень ложных срабатываний и выделение ошибок, которые разработчикам легко отсортировать и исправить. Lift не предназначен для замены инструментов статического тестирования безопасности приложений или анализа безопасности, которые созданы для групп безопасности, у которых есть время, опыт и желание выполнить более тщательный анализ выпуска кода. Напротив, Lift дополняет инструменты SAST, выявляя подмножество проблем безопасности с высокой степенью достоверности, которые могут быть исправлены на ранней стадии процесса, предоставляя разработчикам более качественный код и меньше проблем в SDLC позже. Это на самом деле делает инструменты SAST более ценными, поскольку позволяет группам безопасности сосредоточиться на сложных и, возможно, тонких проблемах, которые остаются.

InfoQ: Какие еще области цепочки поставок программного обеспечения обслуживает Sonatype с помощью своей линейки продуктов?

Magill: Sonatype обслуживает всю цепочку поставок программного обеспечения. Наша миссия – предоставить разработчикам полный контроль над жизненным циклом разработки программного обеспечения с помощью инструментов для стороннего открытого исходного кода, стороннего исходного кода, инфраструктуры как кода (IaC) и контейнерного кода. Наша платформа Nexus широко используется в компаниях из списка Fortune 1000 и направлена ​​на то, чтобы помочь разработчикам управлять рисками, связанными с открытым исходным кодом, чтобы они могли быстрее создавать лучшее программное обеспечение. Платформа включает в себя один из самых популярных репозиториев артефактов – Nexus Repository – и лучший в своем классе дуэт для анализа состава программного обеспечения Nexus Lifecycle и Nexus Firewall. Мы особенно гордимся новой системой раннего обнаружения, которая основана на машинном обучении, искусственном интеллекте и анализе поведения для выявления потенциально вредоносных и подозрительных компонентов с открытым исходным кодом и предотвращения их попадания в чей-либо SDLC.

InfoQ: Что входит в дорожную карту Sonatype Lift? Как будет развиваться продукт в ближайшем будущем?

Magill: Всегда сложно найти баланс, чтобы обеспечить стратегию широты и глубины для качества кода, но мы взволнованы тем, куда идет Sonatype Lift, и думаем, что можем сделать и то, и другое. Есть много разных экосистем, в которых разработчики пишут код, и мы лишь поверхностно касаемся. Это самая большая область, на которой мы сосредоточены – расширение.

Мы продолжаем добавлять новые инструменты для охвата большего количества языков и категорий ошибок, позволяя любой команде разработчиков получить пользу от платформы, независимо от того, работают ли они над бизнес-приложением на основном языке, разрабатывая сценарии развертывания и инфраструктуры, или повторение по блокнотам для анализа данных.

Мы также будем добавлять новые хосты репозиториев, чтобы сделать Lift доступным большему количеству разработчиков. Мы продолжим развивать наши показатели и возможности обучения, чтобы улучшать результаты и помогать командам улучшать качество кода и эффективность разработки. И, наконец, мы будем интегрировать возможности Lift и Nexus для дальнейшего улучшения понимания и возможностей клиентов, использующих полный набор продуктов Sonatype.

Мы планируем использовать многолетний опыт Sonatype в поддержке практик безопасности программного обеспечения в масштабе предприятия, чтобы предоставить клиентам Lift новые расширенные возможности, такие как подробные отчеты, рекомендации по исправлению и надежная интеграция с другими сервисами.

Sonatype Lift бесплатен для общедоступных репозиториев и предоставляет премиум-уровень для частных репозиториев.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button