En bref : Bazel permet des builds rapides, mais a compliqué la sécurité. Pas de fichiers de verrouillage (lockfiles), pas de visibilité, beaucoup de travail manuel. Aikido scanne désormais automatiquement les projets Bazel, signale les dépendances à risque et vous évite les scripts personnalisés et les bidouilles CI.
Le défi de la sécurité Bazel
Bazel est excellent pour les grandes bases de code et les builds rapides, mais il n'utilise pas de fichiers de verrouillage (lockfiles) ou de manifestes standards, ce qui rend le scan de sécurité fastidieux. La plupart des outils ne peuvent pas voir quelles bibliothèques vous utilisez.
Les équipes ont contourné le problème avec des scripts ou les modules expérimentaux de Bazel, juste pour générer quelque chose de scannable. Mais c'est désordonné, lent et cela facilite le fait de manquer des CVE critiques.
Sécuriser les builds Bazel ne devrait pas être si difficile. Maintenant, ce n'est plus le cas.
Comment Aikido automatise la sécurité Bazel
Avec la nouvelle mise à jour d'Aikido, nous avons appliqué notre approche « sans fioritures » aux utilisateurs de Bazel. Voici ce qui change :
- Visibilité des dépendances : Aikido comprend désormais les définitions de dépendances de Bazel, que vous utilisiez les règles BUILD classiques ou les modules Bazel. Il identifie automatiquement les bibliothèques tierces et les versions que votre build Bazel intègre. Pas de lockfile ? Pas de problème. Aikido scanne vos fichiers Bazel et extrait les informations de dépendance, afin que rien ne passe inaperçu.
- Alertes de vulnérabilité : Une fois qu'Aikido connaît vos dépendances, il les vérifie par rapport à notre base de données de vulnérabilités (et aux flux CVE mondiaux). Vous recevez des alertes en temps réel pour toutes les CVE connues. Vous utilisez un Log4j vulnérable via Bazel ? Aikido le signale instantanément, comme nous le faisons pour d'autres écosystèmes.
- SAST et secrets intégrés : Aikido ne s'arrête pas aux dépendances. Nous scannons également vos projets basés sur Bazel à la recherche de problèmes de code, de secrets et de mauvaises configurations. Pas besoin de configuration ou de workflows séparés. C'est la même expérience conviviale pour les développeurs, qui fonctionne directement sans configuration.
De l'approche manuelle à l'automatisation sans effort : ce que cela signifie pour les développeurs
Chaque développeur utilisant Bazel peut désormais être un développeur sécurisé sans effort supplémentaire. Voici comment cette fonctionnalité vous simplifie la vie :
- Fini la chasse manuelle aux CVE : Vous n'avez plus besoin de suivre les listes de diffusion ou les journaux de modifications (changelogs). Aikido surveille vos dépendances Bazel et vous alerte en cas de problème. Vous verrez les CVE directement dans votre tableau de bord Aikido, sans avoir à chercher.
- Moins de fausses alertes : Les projets Bazel regroupent souvent une tonne de code généré et de dépendances indirectes. Le triage IA d'Aikido élimine le bruit, signale ce qui compte vraiment et ignore le reste.
- CI/CD est optionnel, pas obligatoire : Contrairement à d'autres outils, vous n'avez pas besoin d'exécuter des builds Bazel en CI juste pour obtenir des informations de sécurité. Aikido scanne directement votre code - configuration zéro. Vous voulez quand même une intégration CI ? Pas de problème. Ajoutez notre CLI à votre pipeline et nous détecterons également les problèmes Bazel. C'est à vous de décider.
- Confiance pour les mises à jour : Les projets Bazel fixent les versions de manière stricte. C'est excellent... jusqu'à ce que vous ayez besoin de mettre à niveau. Aikido vous montre exactement quelles dépendances sont à risque et si une mise à niveau sécurisée existe. Pas de conjectures, pas de surprises. Il suffit de patcher et de passer à autre chose.
Démarrer avec Aikido + Sécurité Bazel
Démarrer est facile : Inscrivez-vous à Aikido et demandez-nous via le chat intégré à l'application d'activer le scan Bazel - ou réservez un appel rapide avec notre équipe pour une démonstration.
Aikido prend actuellement en charge Java via Maven, avec GO, C, C++, Python, Scala,... à venir prochainement.
