Raven: Açık kaynaklı CI/CD hattı güvenlik tarayıcısı


Raven (CI/CD için Risk Analizi ve Güvenlik Açığı Sayımı), toplu olarak bakıldığında çok daha büyük bir riski ortaya çıkaran, ardışık düzen boyunca örülmüş güvenlik açıkları arasındaki noktaları birleştirerek gizli riskleri görünür hale getiren açık kaynaklı bir CI/CD boru hattı güvenlik tarayıcısıdır. tek seferlik CVE’ler olarak değerlendirildiğinde.

Kuzgun tarayıcı

Raven, güvenlik ekiplerinin güvenli yazılım geliştirme uygulamalarını uygulama yeteneğini artırır ve bir yandan kuruluşlarının ASPM yeteneklerini olgunlaştırırken bir yandan da DevOps ekipleriyle daha stratejik bir şekilde çalışmalarına olanak tanır.

Raven nasıl çalışır?

Başlangıçta GitHub’a odaklanan Raven, GitHub iş akışlarını tarar ve bunları ayrı ayrı bileşenlere ayırır. Bu bileşenler daha sonra aralarında kurulan ilişkilerle birlikte farklı düğüm türleri olarak bir Neo4j veritabanına eklenir. Bu, iş akışlarındaki güvenlik açıklarının zahmetsizce taranmasına ve tanımlanmasına olanak tanır.

Raven, Cycode araştırma ekibinin GitHub Actions’a yönelik bir yıldan fazla süren kapsamlı araştırması sonucunda oluşturulan bir bilgi tabanından yararlanıyor. Bu dönem boyunca çok çeşitli sistemlerden, binlerce projeden ve çoklu konfigürasyonlardan veriler toplandı.

Kuzgun tarayıcı

Veritabanında tespit edilen çekme isteği başlıkları aracılığıyla kod eklemeye açık iki iş akışı

Kuzgun bileşenleri

Raven aşağıdaki bileşenlerden oluşur:

İndirici: Analiz için gerekli iş akışlarını ve eylemleri indirmek. İş akışları, belirli bir kuruluş için veya yıldız sayısına göre sıralanmış olarak tüm depolar için indirilebilir. Bu adımı gerçekleştirmek iş akışlarını analiz etmek için bir önkoşuldur.

Dizin oluşturucu: İndirilen verileri grafik tabanlı bir Neo4j veritabanına özetlemek için. Bu süreç iş akışları, eylemler, işler, adımlar vb. arasında ilişkiler kurmayı içerir.

Sorgu Kitaplığı: Topluluk tarafından yürütülen araştırmalara dayanan, önceden tanımlanmış sorgulardan oluşan bir kitaplık.

Rapor: Raven’ın şüpheli bulguları bildirmenin basit bir yolu var. Örneğin, çekme istekleri için CI sürecine dahil edilebilir ve orada çalıştırılabilir.

Raven GitHub’da ücretsiz olarak mevcuttur.

Göz önünde bulundurulması gereken daha fazla açık kaynak araç:



Source link