TL;DR : Bazel est rapide, mais a rendu la sécurité chaotique. Pas de fichiers de verrouillage, pas de visibilité, beaucoup de travail manuel. Aikido analyse Aikido automatiquement les projets Bazel, signale les dépendances risquées et vous évite d'avoir à recourir à des scripts personnalisés et à des hacks CI.
Le défi Bazel en matière de sécurité
Bazel est idéal pour les bases de code volumineuses et les compilations rapides, mais il n'utilise pas de fichiers de verrouillage ou de manifestes standard, ce qui rend l'analyse de sécurité fastidieuse. La plupart des outils ne peuvent pas voir les bibliothèques que vous utilisez.
Les équipes ont contourné le problème à l'aide de scripts ou des modules expérimentaux de Bazel, juste pour générer quelque chose qui puisse être analysé. Mais cette méthode est fastidieuse, lente et peut facilement faire passer à côté de CVE critiques.
Sécuriser les builds Bazel ne devrait pas être aussi difficile. Désormais, ce n'est plus le cas.
Comment Aikido la sécurité Bazel
Avec la nouvelle mise à jour Aikido, nous avons apporté notre approche « sans fioritures » aux utilisateurs de Bazel. Voici les changements apportés :
- Visibilité des dépendances : Aikido comprend Aikido les définitions de dépendances de Bazel, que vous utilisiez les règles BUILD classiques ou les modules Bazel. Il identifie automatiquement les bibliothèques tierces et les versions utilisées par votre build Bazel. Vous n'avez pas de fichier de verrouillage ? Pas de problème. Aikido vos fichiers Bazel et extrait les informations de dépendance, afin que rien ne passe entre les mailles du filet.
- Alertes de vulnérabilité : une fois Aikido vos dépendances, il les compare à notre base de données de vulnérabilités (et aux flux CVE mondiaux). Vous recevez des alertes en temps réel pour toutes les CVE connues. Vous utilisez un Log4j vulnérable via Bazel ? Aikido le Aikido instantanément, comme nous le faisons pour les autres écosystèmes.
- SAST secrets intégrés : Aikido se limite Aikido aux dépendances. Nous analysons également vos projets Bazel à la recherche de problèmes de code, de secrets et de configurations incorrectes. Pas besoin de configuration ou de workflows séparés. L'expérience est la même, conviviale pour les développeurs, et fonctionne dès l'installation.
Du manuel à l'effortless : ce que cela signifie pour les développeurs
Tous les développeurs qui utilisent Bazel peuvent désormais travailler en toute sécurité sans effort supplémentaire. Voici comment cette fonctionnalité vous facilite la vie :
- Plus besoin de rechercher manuellement les CVE : vous n'avez plus besoin de suivre les listes de diffusion ou les journaux de modifications. Aikido vos dépendances Bazel et vous alerte en cas de problème. Vous verrez les CVE directement dans votre Aikido , sans avoir à les rechercher.
- Moins de fausses alertes : les projets Bazel regroupent souvent une grande quantité de code généré et de dépendances indirectes. Le triage IA Aikidoélimine le bruit, signale ce qui importe réellement et ignore le reste.
- CI/CD est facultatif, pas obligatoire : contrairement à d'autres outils, vous n'avez pas besoin d'exécuter des builds Bazel dans CI juste pour obtenir des informations de sécurité. Aikido directement votre code, sans aucune configuration. Vous souhaitez tout de même une intégration CI ? Pas de problème. Ajoutez notre CLI à votre pipeline et nous détecterons également les problèmes Bazel. C'est vous qui décidez.
- Confiance pour la mise à jour : les projets Bazel fixent strictement les versions. C'est formidable... jusqu'à ce que vous ayez besoin d'une mise à niveau. Aikido vous Aikido exactement quelles dépendances sont risquées et s'il existe une mise à niveau sûre. Pas de conjectures, pas de surprises. Il suffit d'appliquer le correctif et de passer à autre chose.
Premiers pas avec Aikido Bazel Security
Pour commencer, rien de plus simple : Inscrivez-vous à Aikido et demandez-nous dans le chat intégré à l'application d'activer l'analyse Bazel, ou prenez rendez-vous pour un appel rapide avec notre équipe afin d'obtenir des explications détaillées.
Aikido prend actuellement en charge Java via Maven, et GO, C, C++, Python, Scala, etc. seront bientôt disponibles.
Sécurisez votre logiciel dès maintenant.
.jpg)
.avif)
