Abhängigkeitsprobleme lassen sich am einfachsten beheben, wenn sie direkt im Entwicklungsworkflow auftauchen. Mit diesem Release integrieren wir den vollständigen SCA-Workflow in die Aikido IDE-Erweiterung, indem wir In-Editor-Scans mit der Möglichkeit kombinieren, sichere Upgrades über AutoFix anzuwenden. Entwickelnde können anfällige Pakete erkennen und beheben, ohne Tools wechseln oder den Fokus verlieren zu müssen.
Unser Ziel in den Bereichen Produkt, Engineering und Sicherheit bleibt dasselbe: den Abstand zwischen der Identifizierung eines Problems und dessen Behebung zu verkürzen.
Warum SCA in die IDE integrieren?
Aus Produkt- und Engineering-Diskussionen ist die Begründung klar geworden. Entwickelnde müssen Abhängigkeitsprobleme früher erkennen, sie beheben, ohne Tools wechseln zu müssen, den Lärm reduzieren, der durch späte Funde in der CI entsteht, und den Workflow so nah wie möglich am Code halten. SCA befand sich traditionell außerhalb des Entwicklungszyklus und wurde oft erst entdeckt, nachdem die Arbeit bereits fortgeschritten war. Die Integration in die IDE platziert diese Probleme am richtigen Ort und zur richtigen Zeit und verringert die Lücke zwischen der Identifizierung eines veralteten oder anfälligen Pakets und der Ergreifung von Maßnahmen, insbesondere da Fixes jetzt im selben Workflow über AutoFix angewendet werden können.
So funktioniert's
- Aikido liest Ihre Abhängigkeits-Manifeste und Lockfiles, um eine genaue Liste von Paketen und Versionen zu erstellen.
- Die Ergebnisse umfassen bekannte CVEs, Schweregrad, betroffene Versionen und sichere Upgrade-Bereiche.
- Nachdem Sie einmal einen manuellen SCA-Scan durchgeführt haben, überwacht die Erweiterung Ihren Workspace auf Lockfile-Änderungen und aktualisiert die Ergebnisse automatisch.
So führen Sie einen Scan durch:
- Öffnen Sie die Aikido-Seitenleiste in VS Code
- Gehen Sie zu Open-Source-Abhängigkeiten
- Klicken Sie auf „Scan starten“
- Wählen Sie ein Paket aus, um Details, Hinweise und Anleitungen zur Behebung anzuzeigen.
- Jeder Fund zeigt die minimale sichere Version oder Versionsbereiche an, die das Problem beheben.
- In unterstützten Ökosystemen kann AutoFix das Manifest aktualisieren oder die sichere Versionsanhebung direkt aus der IDE anwenden.
Dies hält Erkennung und Behebung an einem Ort. Scans und Korrekturen erfolgen jetzt innerhalb des Editors statt über mehrere Tools hinweg.
Was dies ermöglicht
Mit SCA in der IDE werden Abhängigkeitsprüfungen:
- früher, vor der CI
- schneller, ohne Wechsel zu separaten Tools
- klarer, mit Problemen und Behebungsanleitungen nebeneinander
- umsetzbar, mit AutoFix in unterstützten VS Code-Ökosystemen
Für Engineering-Teams reduziert dies die Abhängigkeitsdrift und den Rückstand an späten Korrekturen. Für Sicherheitsteams werden Probleme mit weniger Störungen und weniger Übergaben entdeckt und behoben.
SCA über alle von Ihnen verwendeten Sprachen hinweg
Wir führen SCA-Scans von Abhängigkeiten auf bekannte CVEs und riskante Open-Source-Lizenzen durch. Das Scannen basiert auf Abhängigkeits-Manifesten und Lockfiles, die dazu beitragen, Builds reproduzierbar zu machen und die Erkennung anfälliger Pakete zu verbessern. Lockfiles werden sowohl im Stammverzeichnis eines Projekts als auch in allen Unterordnern gescannt.
Die IDE nutzt dieselbe Unterstützung für den Scan von Softwareabhängigkeiten wie Aikidos Repository- und CI-Scans. Dies umfasst JavaScript und TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C und C++, Scala, Clojure und Unity UPM.
Eine vollständige Liste der unterstützten Sprachen und gescannten Lockfiles finden Sie in der Dokumentation:
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA überall dort, wo Entwickelnde arbeiten
Den vollständigen SCA-Workflow in die IDE zu integrieren, ist Teil einer umfassenderen Bemühung, wesentliche Prüfungen dort sichtbar zu machen, wo Entwickelnde bereits Code schreiben und bereitstellen. Ziel ist es, Sicherheitssignale schnell, präzise und nah an der Arbeit zu halten. Dies umfasst nun das Scannen von Abhängigkeiten und das Anwenden sicherer Upgrades mit AutoFix am selben Ort. Wir werden die Abdeckung des Ökosystems weiter ausbauen und die In-Editor-Erfahrung verbessern. Die Richtung ist einfach: Sicherheit nah an der Arbeit halten und es Teams erleichtern, auf das Gesehene zu reagieren.
Testen Sie SCA kostenlos in Ihrer IDE → https://help.aikido.dev/ide-plugins/features/open-source-dependency-scanning-sca-in-ide
