Abhängigkeitsprobleme lassen sich am einfachsten beheben, wenn sie direkt im Entwicklungs-Workflow auftreten. Mit dieser Version integrieren wir den vollständigen SCA in die Aikido -Erweiterung und kombinieren das Scannen im Editor mit der Möglichkeit, sichere Upgrades über AutoFix durchzuführen. Entwickler können anfällige Pakete erkennen und beheben, ohne das Tool wechseln oder ihre Konzentration unterbrechen zu müssen.
Unser Ziel in den Bereichen Produkt, Technik und Sicherheit bleibt unverändert: die Zeitspanne zwischen der Erkennung eines Problems und der Ergreifung von Maßnahmen zu verkürzen.
Warum SCA die IDE integrieren?
Aus den Diskussionen über Produkte und Technik ist die Argumentation klar geworden. Entwickler müssen Abhängigkeitsprobleme früher aufdecken, sie ohne Werkzeugwechsel lösen, den Lärm reduzieren, der durch späte Feststellungen in CI entsteht, und den Workflow so nah wie möglich am Code halten. SCA traditionell außerhalb des Entwicklungszyklus stattgefunden und wurde oft erst entdeckt, nachdem die Arbeit bereits fortgeschritten war. Durch die Integration in die IDE werden diese Probleme zum richtigen Zeitpunkt und am richtigen Ort behandelt und die Lücke zwischen der Identifizierung eines veralteten oder anfälligen Pakets und dem Ergreifen von Maßnahmen verringert, insbesondere jetzt, da Korrekturen durch AutoFix im selben Workflow vorgenommen werden können.
So funktioniert's
- Aikido Ihre Abhängigkeitsmanifeste und Sperrdateien, um eine genaue Liste der Pakete und Versionen zu erstellen.
- Die Ergebnisse umfassen bekannte CVEs, Schweregrad, betroffene Versionen und sichere Upgrade-Bereiche.
- Nachdem Sie einen manuellen SCA einmal ausgeführt haben, überwacht die Erweiterung Ihren Arbeitsbereich auf Änderungen an Lockfiles und aktualisiert die Ergebnisse automatisch.
So führen Sie einen Scan durch:
- Öffnen Sie die Aikido in VS Code.
- Gehe zu Open-Source-Abhängigkeiten
- Klicken Sie auf „Scan starten“.
- Wählen Sie ein Paket aus, um Details, Hinweise und Anleitungen zur Fehlerbehebung anzuzeigen.
- Jeder Befund zeigt die minimale sichere Version oder Versionsbereiche an, die das Problem beheben.
- In unterstützten Ökosystemen kann AutoFix das Manifest aktualisieren oder die sichere Versionserhöhung direkt aus der IDE heraus anwenden.
Dadurch bleiben Erkennung und Behebung an einem Ort zusammengefasst. Das Scannen und Beheben erfolgt nun innerhalb des Editors und nicht mehr über mehrere Tools hinweg.
Was dies ermöglicht
Mit SCA in der IDE SCA Abhängigkeitsprüfungen wie folgt SCA :
- früher, vor CI
- schneller, ohne zu separaten Werkzeugen wechseln zu müssen
- Übersichtlicher, mit Problemen und Lösungshinweisen nebeneinander
- umsetzbar, mit AutoFix in unterstützten VS Code-Ökosystemen
Für Engineering-Teams reduziert dies die Abhängigkeitsverschiebung und den Rückstau an verspäteten Korrekturen. Für Sicherheitsteams werden Probleme mit weniger Aufwand und weniger Übergaben entdeckt und gelöst.
SCA allen von Ihnen verwendeten Sprachen
Wir führen SCA von Abhängigkeiten für bekannte CVEs und riskante Open-Source-Lizenzen durch. Das Scannen basiert auf Abhängigkeitsmanifesten und Lockfiles, die dazu beitragen, Builds reproduzierbar zu machen und die Erkennung anfälliger Pakete zu verbessern. Lockfiles werden sowohl im Stammverzeichnis eines Projekts als auch in allen Unterordnern gescannt.
Die IDE nutzt dieselbe Scan von Softwareabhängigkeiten wie das Repository und die CI-Scans Aikido. Dazu gehören JavaScript und TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C und C++, Scala, Clojure und Unity UPM.
Die vollständige Liste der unterstützten Sprachen und gescannten Lockfiles finden Sie in der Dokumentation:
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA , wo Entwickler arbeiten
Die Integration des gesamten SCA in die IDE ist Teil einer umfassenderen Initiative, wichtige Überprüfungen dort durchzuführen, wo Entwickler bereits Code schreiben und ausliefern. Das Ziel besteht darin, Sicherheitssignale schnell, genau und nah am Arbeitsprozess zu halten. Dazu gehört nun auch das Scannen von Abhängigkeiten und die Durchführung sicherer Upgrades mit AutoFix an derselben Stelle. Wir werden die Abdeckung des Ökosystems weiter ausbauen und die Erfahrung im Editor verbessern. Die Richtung ist klar: Sicherheit soll nah an der Arbeit bleiben und es Teams erleichtern, auf das zu reagieren, was sie sehen.
Probieren Sie SCA in Ihrer IDE aus → sca
Sichern Sie Ihre Software jetzt.
.avif)
