代码安全性

“基础架构即代码”提供了一个在云基础设施部署到生产环境之前用代码保护云基础设施的机会。Cortex Cloud 通过自动化以及将安全性嵌入 Terraform、CloudFormation、Kubernetes、Dockerfile、无服务器和 ARM 模板等 DevOps 工具的工作流程，简化了整个软件开发生命周期的安全性。

• 自动执行代码中的云安全扫描

  在软件开发生命周期的每一步添加对错误配置和暴露机密内容的自动检查。

• 利用开源和社区的力量

  Checkov 是领先的开源策略即代码工具，为 Cortex Cloud 基础设施即代码安全提供动力，它得到了活跃社区的支持，下载量高达数百万次。

• 在开发人员工具中直接嵌入代码安全反馈

  Cortex Cloud 与 IDE、VCS 和 CI/CD 工具原生集成，帮助开发人员在现有工作流程中交付安全代码。

• 包括错误配置的深入情境

  Cortex Cloud 可自动跟踪 IaC 资源的依赖关系以及最新的开发人员修饰符，以改善大型团队的协作。

• 在代码中提供自动反馈和修复

  自动获取错误配置的请求评论以及自动提取请求，并对已识别的错误配置提交修复和智能修复。

犯罪分子只需一分钟就可以找到并滥用暴露在网上的凭据。使用 Cortex Cloud 在生产前识别机密。使用签名和启发式方法，在开发环境中和构建时查找和删除 IaC 模板和容器映像中的机密。

• 在几乎所有文件类型中查找机密内容

  将基础架构中的密码和令牌识别为代码模板、黄金镜像和 Git 存储库配置。

• 在开发人员的工具中展示机密内容

  借助 IDE、CLI、预提交和 CI/CD 工具，尽早向开发人员展示代码中的硬编码机密内容。

• 多维机密扫描

  使用正则表达式、关键字或经过微调的基于熵的标识符来定位常见和不常见的机密内容。

每个公司都有自己可接受的开源许可证使用策略。不要等到手动合规性审查后才发现开源代码库不符合您的需求。Cortex Cloud 对依赖关系的开源许可证进行编目，并可根据可定制的许可证策略提醒或阻止部署。

• 避免代价高昂的开源许可证违规

  尽早提供反馈并阻止基于开源数据包许可证违规的构建行为，为所有常用语言和数据包管理程序提供支持。

• 扫描 git 和非 git 存储库是否存在问题

  Cortex Cloud 原生集成了 GitHub 和 Bitbucket 等版本控制系统，但也可以使用我们的命令行工具扫描任何类型的版本库。

• 使用默认规则或自定义警报和阻止

  按许可证类型设置警报和阻止阈值，以匹配非盈利版权和允许的许可证的内部要求。