As questões de dependência são mais fáceis de resolver quando aparecem diretamente no fluxo de trabalho de desenvolvimento. Com esta versão, estamos a trazer o SCA completo para a extensão Aikido , combinando a verificação no editor com a capacidade de aplicar atualizações seguras através do AutoFix. Os programadores podem detetar pacotes vulneráveis e resolvê-los sem mudar de ferramenta ou perder o foco.
O nosso objetivo em relação aos produtos, engenharia e segurança continua o mesmo: reduzir o tempo entre a identificação de um problema e a tomada de medidas para resolvê-lo.
Por que trazer SCA o IDE?
A partir das discussões sobre produtos e engenharia, o raciocínio ficou claro. Os programadores precisam identificar problemas de dependência mais cedo, resolvê-los sem trocar de ferramentas, reduzir o ruído proveniente de descobertas tardias na CI e manter o fluxo de trabalho o mais próximo possível do código. Tradicionalmente, SCA fora do ciclo de desenvolvimento, muitas vezes sendo descoberta depois que o trabalho já havia avançado. Incorporá-la ao IDE coloca essas questões no lugar e no momento certos e reduz a lacuna entre a identificação de um pacote desatualizado ou vulnerável e a tomada de medidas, especialmente agora que as correções podem ser aplicadas no mesmo fluxo de trabalho por meio do AutoFix.
Como funciona
- Aikido os seus manifestos de dependências e ficheiros de bloqueio para criar uma lista precisa de pacotes e versões.
- Os resultados incluem CVEs conhecidos, gravidade, versões afetadas e intervalos de atualização seguros.
- Depois de executar uma SCA manual uma vez, a extensão monitora o seu espaço de trabalho em busca de alterações no ficheiro de bloqueio e atualiza os resultados automaticamente.
Para executar uma verificação:
- Abra a Aikido no VS Code
- Ir para Dependências de código aberto
- Clique em Iniciar digitalização
- Selecione um pacote para ver detalhes, avisos e orientações de correção
- Cada descoberta mostra a versão mínima segura ou intervalos de versões que resolvem o problema.
- Em ecossistemas suportados, o AutoFix pode atualizar o manifesto ou aplicar a versão segura diretamente a partir do IDE.
Isso mantém a deteção e a correção num único local. A verificação e a correção agora ocorrem dentro do editor, em vez de em várias ferramentas.
O que isto desbloqueia
Com SCA no IDE, as verificações de dependência tornam-se:
- antes, antes da CI
- mais rápido, sem necessidade de alternar entre ferramentas separadas
- mais claro, com problemas e orientações para correção lado a lado
- acionável, com AutoFix em ecossistemas VS Code suportados
Para as equipas de engenharia, isso reduz a dependência e o acúmulo de correções atrasadas. Para as equipas de segurança, os problemas são descobertos e resolvidos com menos ruído e menos transferências.
SCA os idiomas que utiliza
Realizamos SCA de dependências para CVEs conhecidas e licenças de código aberto arriscadas. A varredura é baseada em manifestos de dependência e ficheiros de bloqueio, que ajudam a tornar as compilações reproduzíveis e melhoram a deteção de pacotes vulneráveis. Os ficheiros de bloqueio são verificados tanto na raiz de um projeto como em todas as subpastas.
O IDE usa o mesmo análise de dependências que o repositório e as verificações de CI Aikido. Isso inclui JavaScript e TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C e C++, Scala, Clojure e Unity UPM.
Para obter a lista completa de idiomas suportados e ficheiros de bloqueio verificados, consulte a documentação:
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA onde os programadores trabalham
Trazer todo o SCA para o IDE faz parte de um esforço mais amplo para revelar verificações essenciais onde os programadores já escrevem e enviam código. O objetivo é manter os sinais de segurança rápidos, precisos e próximos do trabalho. Isso agora inclui a verificação de dependências e a aplicação de atualizações seguras com o AutoFix no mesmo local. Continuaremos a expandir a cobertura do ecossistema e a melhorar a experiência no editor. A direção é simples: manter a segurança próxima do trabalho e facilitar às equipas a ação com base no que vêem.
Experimente SCA no seu IDE → sca
Proteja seu software agora
.avif)
