Интеграция Docker и Black Duck значительно оптимизирует процесс управления безопасностью контейнеров, позволяя разработчикам сосредоточиться на реальных угрозах. Теперь системы автоматически различают уязвимости, не представляющие опасности, что позволяет избежать «шума» в отчётах.
Как работает новая интеграция
Интеграция основана на принципе, что Docker предоставляет защищённые образы контейнеров, а Black Duck добавляет детектор уязвимостей с использованием VEX (Vulnerability Exploitability eXchange). Это позволяет игнорировать уязвимости, не затрагивающие конечное приложение.
Программное обеспечение Black Duck теперь автоматически определяет базовые образы Docker без необходимости ручной метки. Такой подход упрощает процессы триажа и уменьшает количество ложных срабатываний, позволяя командам разработчиков быстрее реагировать на настоящие уязвимости.
Польза для разработчиков и компаний
На практике это снижает затраты на триаж уязвимостей и упрощает соблюдение требований, таких как таковые, которые предусмотрены Регламентом о сетевой и информационной безопасности ЕС. Black Duck генерирует полные или высококачественные списки материалов программного обеспечения (SBOM), обогащённые данными VEX, что уменьшает трудозатраты на соблюдение нормативных требований.
Планируются и дальнейшие улучшения: в ближайшие месяцы Black Duck интегрирует данные о DHI в свою платфому Software Composition Analysis (SCA), позволяя применять одни и те же политики безопасности для контейнеров и исходного кода приложений.
Что это значит для российского рынка
Для застройщиков в России эта интеграция приобретает особое значение. С увеличивающейся популярностью контейнеризации снижение временных затрат на обработку уязвимостей может оказать значительное влияние на разработку продуктов. Инвестируя в эффективные системы обеспечения безопасности, компании могут существенно повысить качество своих решений, сохраняя при этом ресурсы.
Следующий шаг — новые релизы и улучшения в области SCA, которые укрепят вмешательство контейнеров в общий поток работы, далее ожидается в ближайшие месяцы.