O que é GeneXus for Agents?
GeneXus for Agents is a new capability of GeneXus that allows AI agents to interact directly with a GeneXus KB through a standard protocol.
Scanner de segurança: uma ferramenta de análise estática
Neste post iremos mais fundo no Security Scanner
, a ferramenta de análise de código estático incluída no GeneXus Integrated Development Environment (IDE), com o objetivo de melhorar a segurança das aplicações desenvolvidas com nossa plataforma Low-Code.
A análise de código estático são as inspeções realizadas no código fonte ou nos binários gerados, para detectar erros e vulnerabilidades que possam colocar em risco uma aplicação. Eles são estáticos porque não executam a aplicação.
Silvia Grampone
, engenheira de software, define as ferramentas de análise estática como uma “caixa branca”, pois elas permitem que os analistas acessem todo o código.
No caso do Security Scanner, ele verifica especificamente o código GeneXus, não o código nativo gerado.
“Esta ferramenta procura funções que já são conhecidas a priori para introduzir vulnerabilidades em aplicações se elas não forem usadas corretamente pelos desenvolvedores. Como qualquer ferramenta de análise estática, ela requer uma análise a posteriori para eliminar os falsos positivos”.
Silvia, que também trabalha como Analista de Segurança na GeneXus, explica que o Scanner de Segurança pode ser executado de duas maneiras: diretamente na IDE ou pela MSBuild, que pode ser incluída em um pipeline de desenvolvimento.
Funcionando a partir do IDE
“É recomendado para os desenvolvedores, por exemplo, antes de se comprometerem com o
GeneXus Server
a analisar o código que acabaram de desenvolver passo a passo”.
Execução pela MSBuild
É recomendado acrescentar em uma linha de desenvolvimento para fazer uma análise posterior que pode ser incluída para executar medições ou para fazer verificações”.
As regras MSBuild e a documentação de tarefas estão no wiki e são muito fáceis de usar. Para que o desenvolvedor possa executar o Security Scanner da IDE, basta seguir o seguinte caminho:
Ferramentas> Segurança> Scanner de Segurança.
A tarefa MSBuild é fácil de usar, basta copiá-la como está no wiki.
Saiba mais sobre este tópico na palestra
DevSecOps: Redefinindo os fundamentos da segurança com Análise de Código Estático
, dada por Silvia Grampone como parte do
GeneXus Live 2021
.
Você também pode estar interessado em ler:
Como iniciar uma cultura DevOps?
Mission Critical Systems, o caso do Uruguai se Vacuna’
2022 em Low-Code key: O que está por vir em GeneXus!
Deixe um comentário