要約:Bazelはビルドが高速だが、セキュリティをめちゃくちゃにした。ロックファイルなし、可視性なし、手作業が大量発生。Aikido を自動スキャンし、危険な依存関係を警告。カスタムスクリプトやCIハックから解放される。
バゼル・セキュリティ・チャレンジ
Bazelは大規模なコードベースと高速ビルドに優れていますが、標準的なロックファイルやマニフェストを使用しないため、セキュリティスキャンが煩雑になります。ほとんどのツールは使用しているライブラリを把握できません。
チームはスクリプトやBazelの実験的モジュールで対応し、スキャン対象となる何かを生成していました。しかしこれは煩雑で時間がかかり、重大なCVEを見逃しやすくなります。
Bazelビルドのセキュリティ確保は、これほど難しいべきではない。今や、そうではない。
Aikido BazelセキュリティAikido する方法
Aikidoにより、Bazelユーザーに「無駄のない」アプローチを提供します。変更点は以下の通りです:
- 依存関係の可視化: Aikido 従来のBUILDルールを使用する場合でもBazelモジュールを使用する場合でもAikido Bazelの依存関係定義を理解します Aikido Bazelビルドが読み込むサードパーティライブラリとそのバージョンを自動的に識別します。ロックファイルがなくても問題ありません。Aikido BazelAikido 依存関係情報を抽出するため、見落とされることはありません。
- 脆弱性アラート: Aikido 依存関係をAikido 、当社の脆弱性データベース(およびグローバルCVEフィード)と照合します。既知のCVEについてはリアルタイムでアラートを受け取れます。Bazel経由で脆弱なLog4jを使用中ですか?他のエコシステムと同様、Aikido 即座にAikido 。
- 統合されたSASTとシークレット管理: Aikido 依存関係だけでAikido 。Bazelベースのプロジェクトをスキャンし、コードの問題、シークレット、設定ミスも検出します。別途設定やワークフローは不要。開発者フレンドリーな体験はそのまま、箱から出してすぐに動作します。
手動から自動へ:開発者にとっての意味
Bazelを利用するすべての開発者は、追加の労力なしにセキュアな開発者になれます。この機能が開発をいかに容易にするかをご紹介します:
- 手動でのCVE検索はもう不要:メーリングリストや変更履歴を追跡する必要はありません。Aikido 、問題が発生した際に通知します。CVEAikido 直接確認でき、掘り下げる必要はありません。
- 誤検知の削減:Bazelプロジェクトは 大量の生成コードや間接依存関係を束ねる傾向があります。Aikidoを排除し、真に重要な要素を特定して残りを無視します。
- CI/CDは必須ではなくオプションです: 他のツールと異なり 、セキュリティインサイトを得るためにBazelビルドをCIで実行する必要はありません。Aikido コードから直接Aikido - 設定不要です。それでもCI統合をご希望ですか?結構です。当社のCLIをパイプラインに追加すれば、Bazelの問題もそこで検出します。お任せします。
- 更新の確信:Bazelプロジェクトはバージョンを厳密に固定します。これは素晴らしい…しかしアップグレードが必要になると話は別です。Aikido どの依存関係がリスクを伴うか、安全なアップグレードが存在するか否かを正確にAikido 。推測も驚きもありません。パッチを当てて進むだけです。
Aikido Bazel Securityの入門
始めるのは簡単です: Aikidoに登録 アプリ内チャットでBazelスキャンを有効化してほしいと伝えてください。または、チームとのクイックコールを予約して手順の説明を受けてください。
Aikido は現在、Maven経由でJavaをサポートしており、GO、C、C++、Python、Scala...がまもなく対応予定です。
4.7/5
今すぐソフトウェアを保護しましょう
.jpg)
.avif)
