Aikido

Por que proteger compilações Bazel é tão difícil (e como torná-lo mais fácil)

Escrito por
Felix Garriau

TL;DR: Bazel constrói rapidamente, mas tornou a segurança uma bagunça. Sem lockfiles, sem visibilidade, muito trabalho manual. O Aikido agora escaneia projetos Bazel automaticamente, sinaliza dependências de risco e te poupa de scripts personalizados e gambiarras de CI.

O Desafio de Segurança do Bazel

Bazel é ótimo para grandes bases de código e builds rápidos, mas não utiliza lockfiles ou manifests padrão, o que torna a varredura de segurança um problema. A maioria das ferramentas não consegue identificar quais bibliotecas você está usando.

As equipes contornavam isso com scripts ou módulos experimentais do Bazel, apenas para gerar algo que pudesse ser escaneado. Mas isso é confuso, lento e facilita a perda de CVEs críticos.

Proteger builds Bazel não deveria ser tão difícil. Agora não é.

Como o Aikido Automatiza a Segurança do Bazel

Com a nova atualização do Aikido, trouxemos nossa abordagem “sem enrolação” para os usuários do Bazel. Veja o que muda:

  • Visibilidade de Dependências: O Aikido agora entende as definições de dependência do Bazel, quer você use regras BUILD clássicas ou módulos Bazel. Ele identifica automaticamente as bibliotecas de terceiros e as versões que seu build Bazel utiliza. Sem lockfile? Sem problemas. O Aikido escaneia seus arquivos Bazel e extrai informações de dependência, para que nada passe despercebido.
  • Alertas de Vulnerabilidade: Assim que o Aikido conhece suas dependências, ele as verifica em nosso banco de dados de vulnerabilidades (e feeds globais de CVE). Você recebe alertas em tempo real para quaisquer CVEs conhecidos. Usando um Log4j vulnerável via Bazel? O Aikido o sinaliza instantaneamente, assim como fazemos para outros ecossistemas.
  • SAST e Secrets Integrados: O Aikido não para nas dependências. Também escaneamos seus projetos baseados em Bazel em busca de problemas de código, Secrets e configurações incorretas. Não há necessidade de configuração ou fluxos de trabalho separados. É a mesma experiência amigável ao desenvolvedor, funcionando de forma imediata.

Do Manual ao Sem Esforço: O Que Isso Significa para Desenvolvedores

Todo desenvolvedor que usa Bazel agora pode ser um desenvolvedor seguro sem esforço extra. Veja como este recurso facilita sua vida:

  • Chega de caça manual a CVEs: Você não precisa rastrear listas de e-mail ou changelogs. O Aikido monitora suas dependências Bazel e o alerta quando algo falha. Você verá os CVEs diretamente no seu dashboard do Aikido, sem precisar investigar.
  • Menos falsos positivos: Projetos Bazel frequentemente agrupam uma tonelada de código gerado e dependências indiretas. A triagem de IA do Aikido elimina o ruído, sinaliza o que realmente importa e ignora o restante.
  • CI/CD é opcional, não obrigatório: Ao contrário de outras ferramentas, você não precisa executar builds Bazel em CI apenas para obter insights de segurança. O Aikido escaneia diretamente do seu código - configuração zero. Quer integração com CI mesmo assim? Sem problemas. Adicione nossa CLI ao seu pipeline e também detectaremos problemas do Bazel lá. A decisão é sua.
  • Confiança para atualizar: Projetos Bazel fixam versões rigidamente. Isso é ótimo… até que você precise fazer um upgrade. O Aikido mostra exatamente quais dependências são arriscadas e se existe um upgrade seguro. Sem suposições, sem surpresas. Apenas aplique o patch e siga em frente.

Começando com Aikido + Segurança do Bazel

Começar é fácil: Inscreva-se no Aikido e nos peça no chat do aplicativo para habilitar a varredura Bazel - ou agende uma chamada rápida com nossa equipe para uma demonstração.

O Aikido atualmente suporta Java via Maven, com GO, C, C++, Python, Scala,... em breve.

Compartilhar:

https://www.aikido.dev/blog/secure-bazel-builds

Assine para receber notícias sobre ameaças.

Comece hoje, gratuitamente.

Comece Gratuitamente
Não é necessário cc

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.