AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Raven: sicurezza per pipeline CI/CD open-source

Scopri come Raven può migliorare la sicurezza delle tue pipeline CI/CD

Raven è uno scanner di sicurezza open-source per pipeline CI/CD. Identifica rischi e vulnerabilità, analizzando i flussi di lavoro su GitHub e segnalando eventuali problemi. È disponibile gratuitamente su GitHub.

This pill is also available in English language

Raven (Risk Analysis and Vulnerability Enumeration for CI/CD) è uno scanner di sicurezza per pipeline CI/CD open-source che rende visibili i rischi nascosti, connettendo i punti vulnerabili presenti lungo tutta la pipeline. Questo permette di individuare un rischio complessivo molto maggiore rispetto all'analisi di singole vulnerabilità (CVE) prese isolatamente.

Come funziona Raven

Inizialmente focalizzato su GitHub, Raven analizza i flussi di lavoro (workflows) all'interno di GitHub, suddividendoli in componenti individuali. Questi componenti vengono quindi inseriti in un database Neo4j come nodi distinti, stabilendo relazioni tra di loro. Questo permette una scansione agevole e l'identificazione di vulnerabilità nei flussi di lavoro.

Componenti di Raven

Raven è composto dai seguenti componenti:

1. Downloader: per scaricare i flussi di lavoro e le azioni necessarie all'analisi, sia per un'organizzazione specifica che per tutti i repository, ordinati per popolarità.

2. Indexer: per elaborare i dati scaricati all'interno di un database di tipo grafo (Neo4j), stabilendo le relazioni tra flussi di lavoro, azioni, job, step, ecc.

3. Query Library: una libreria di query predefinite basate sulla ricerca condotta dalla comunità.

4. Report: Raven fornisce una modalità semplice per segnalare eventuali riscontri sospetti. Ad esempio, può essere integrato nel processo di integrazione continua (CI) per i pull request e essere eseguito automaticamente in tale contesto.

Disponibilità di Raven

Raven è disponibile gratuitamente su GitHub.

Follow us on Twitter for more pills like this

10/27/2023 06:35

Editorial AI

Last pills

Data breach: 560 million users involvedHow to protect yourself from the consequences of a major data breach

Ransomware attack on Synnovis: London health services in crisisSevere disruption to pathology and diagnostic services in London

A new LPE exploit for Windows for sale in the undergroundA new local privilege escalation threat for Windows in the underground forums

Critical failure in Check Point VPN solutions: risks and security measuresExposure of enterprise systems: urgent updates and patches to protect networks