Problemas de dependência são mais fáceis de serem abordados quando aparecem diretamente no fluxo de trabalho de desenvolvimento. Com este lançamento, estamos trazendo o fluxo de trabalho completo de SCA para a extensão IDE da Aikido, combinando a varredura no editor com a capacidade de aplicar atualizações seguras através do AutoFix. Desenvolvedores podem detectar pacotes vulneráveis e resolvê-los sem trocar de ferramentas ou perder o foco.
Nosso objetivo em produto, engenharia e segurança permanece o mesmo: encurtar a distância entre identificar um problema e agir sobre ele.
Por que trazer SCA para o IDE
A partir das discussões de produto e engenharia, o raciocínio tem sido claro. Os desenvolvedores precisam identificar problemas de dependência mais cedo, resolvê-los sem trocar de ferramentas, reduzir o ruído que vem de descobertas tardias na CI e manter o fluxo de trabalho o mais próximo possível do código. O SCA tradicionalmente existia fora do ciclo de desenvolvimento, muitas vezes descoberto depois que o trabalho já avançou. Trazê-lo para a IDE coloca esses problemas no lugar e tempo certos e reduz a lacuna entre identificar um pacote desatualizado ou vulnerável e tomar medidas, especialmente agora que as correções podem ser aplicadas no mesmo fluxo de trabalho através do AutoFix.
Como funciona
- O Aikido lê seus manifestos de dependência e lockfiles para construir uma lista precisa de pacotes e versões
- Os resultados incluem CVEs conhecidos, gravidade, versões afetadas e intervalos de atualização seguros
- Depois de executar uma varredura manual de SCA uma vez, a extensão monitora seu workspace em busca de alterações nos lockfiles e atualiza os resultados automaticamente
Para executar uma varredura:
- Abra a barra lateral do Aikido no VS Code
- Vá para Dependências de código aberto
- Clique em Iniciar varredura
- Selecione um pacote para ver detalhes, avisos e orientações de correção
- Cada descoberta mostra a versão mínima segura ou intervalos de versão que resolvem o problema
- Em ecossistemas suportados, o AutoFix pode atualizar o manifesto ou aplicar o incremento de versão segura diretamente da IDE
Isso mantém a detecção e a remediação em um só lugar. A varredura e a correção agora acontecem dentro do editor, em vez de em várias ferramentas.
O que isso possibilita
Com o SCA disponível na IDE, as verificações de dependência se tornam:
- mais cedo, antes da CI
- mais rápidas, sem a necessidade de alternar para ferramentas separadas
- mais claras, com problemas e orientações de correção lado a lado
- acionáveis, com AutoFix em ecossistemas VS Code suportados
Para equipes de engenharia, isso reduz o desvio de dependência e o acúmulo de correções tardias. Para equipes de segurança, os problemas são descobertos e resolvidos com menos ruído e menos transferências.
SCA em todas as linguagens que você usa
Realizamos varreduras de SCA de dependências para CVEs conhecidos e licenças de código aberto arriscadas. A varredura é baseada em manifestos de dependência e lockfiles, que ajudam a tornar as builds reproduzíveis e melhoram a detecção de pacotes vulneráveis. Os lockfiles são varridos tanto na raiz de um projeto quanto em todas as subpastas.
A IDE utiliza o mesmo suporte de análise de dependências que as varreduras de repositório e CI do Aikido. Isso inclui JavaScript e TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C e C++, Scala, Clojure e Unity UPM.
Para a lista completa de linguagens suportadas e lockfiles varridos, consulte a documentação:
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA onde quer que os desenvolvedores trabalhem
Trazer o fluxo de trabalho completo de SCA para a IDE faz parte de um esforço mais amplo para expor verificações essenciais onde os desenvolvedores já escrevem e entregam código. O objetivo é manter os sinais de segurança rápidos, precisos e próximos ao trabalho. Isso agora inclui a verificação de dependências e a aplicação de upgrades seguros com AutoFix no mesmo local. Continuaremos expandindo a cobertura do ecossistema e melhorando a experiência no editor. A direção é simples: manter a segurança próxima ao trabalho e facilitar para as equipes agirem sobre o que veem.
Experimente SCA gratuitamente na sua IDE → https://help.aikido.dev/ide-plugins/features/open-source-dependency-scanning-sca-in-ide
