Los problemas de dependencias son más fáciles de abordar cuando aparecen directamente en el flujo de trabajo de desarrollo. Con esta versión, integramos el flujo de trabajo completo de SCA en la extensión de IDE de Aikido, combinando el escaneo en el editor con la capacidad de aplicar actualizaciones seguras a través de AutoFix. Los desarrolladores pueden detectar paquetes vulnerables y resolverlos sin cambiar de herramienta ni perder la concentración.
Nuestro objetivo en producto, ingeniería y seguridad sigue siendo el mismo: acortar la distancia entre la identificación de un problema y la acción sobre él.
¿Por qué integrar SCA en el IDE?
De las discusiones de producto e ingeniería, el razonamiento ha sido claro. Los desarrolladores necesitan detectar los problemas de dependencias antes, resolverlos sin cambiar de herramienta, reducir el ruido que proviene de los hallazgos tardíos en CI, y mantener el flujo de trabajo lo más cerca posible del código. SCA tradicionalmente ha estado fuera del ciclo de desarrollo, a menudo descubierto después de que el trabajo ha avanzado. Integrarlo en el IDE sitúa estos problemas en el lugar y momento adecuados y reduce la brecha entre la identificación de un paquete obsoleto o vulnerable y la toma de medidas, especialmente ahora que las correcciones se pueden aplicar en el mismo flujo de trabajo a través de AutoFix.
Cómo funciona
- Aikido lee sus manifiestos de dependencias y archivos lock para construir una lista precisa de paquetes y versiones.
- Los resultados incluyen CVEs conocidos, gravedad, versiones afectadas y rangos de actualización seguros.
- Después de ejecutar un escaneo SCA manual una vez, la extensión monitoriza su espacio de trabajo en busca de cambios en los archivos lock y actualiza los resultados automáticamente.
Para ejecutar un escaneo:
- Abra la barra lateral de Aikido en VS Code
- Vaya a Dependencias de código abierto
- Haga clic en Iniciar escaneo
- Seleccione un paquete para ver detalles, avisos y orientación de corrección.
- Cada hallazgo muestra la versión mínima segura o los rangos de versiones que resuelven el problema.
- En los ecosistemas compatibles, AutoFix puede actualizar el manifiesto o aplicar el incremento de versión segura directamente desde el IDE.
Esto mantiene la detección y remediación en un solo lugar. El escaneo y la corrección ahora se realizan dentro del editor en lugar de en múltiples herramientas.
Lo que esto permite
Con SCA disponible en el IDE, las comprobaciones de dependencias son ahora:
- más tempranas, antes de CI
- más rápidas, sin cambiar a herramientas separadas
- más claras, con los problemas y la guía de solución uno al lado del otro
- accionables, con AutoFix en ecosistemas VS Code compatibles
Para los equipos de ingeniería, esto reduce la deriva de dependencias y la acumulación de correcciones tardías. Para los equipos de seguridad, los problemas se descubren y resuelven con menos ruido y menos traspasos.
SCA en todos los lenguajes que utilizas
Realizamos escaneos SCA de dependencias en busca de CVEs conocidos y licencias de código abierto de riesgo. El escaneo se basa en manifiestos de dependencias y lockfiles, lo que ayuda a que las compilaciones sean reproducibles y mejora la detección de paquetes vulnerables. Los lockfiles se escanean tanto en la raíz de un proyecto como en todas las subcarpetas.
El IDE utiliza el mismo soporte de análisis de dependencias que los escaneos de repositorio y CI de Aikido. Esto incluye JavaScript y TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C y C++, Scala, Clojure y Unity UPM.
Para la lista completa de lenguajes compatibles y lockfiles escaneados, consulta la documentación:
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA dondequiera que trabajen los desarrolladores
Llevar el flujo de trabajo completo de SCA al IDE es parte de un esfuerzo más amplio para mostrar comprobaciones esenciales donde los desarrolladores ya escriben y despliegan código. El objetivo es mantener las señales de seguridad rápidas, precisas y cercanas al trabajo. Esto ahora incluye el escaneo de dependencias y la aplicación de actualizaciones seguras con AutoFix en el mismo lugar. Continuaremos expandiendo la cobertura del ecosistema y mejorando la experiencia en el editor. La dirección es simple: mantener la seguridad cerca del trabajo y facilitar que los equipos actúen sobre lo que ven.
Prueba SCA gratis en tu IDE → https://help.aikido.dev/ide-plugins/features/open-source-dependency-scanning-sca-in-ide
