数据表:提高开源安全与材料清单
你的供应链安全有多成熟?看看您现有的开源安全性和完整性控制有多好,通过使用我们的快速,8-question自我评估.
了解,与其他物料清单(BOM)解决方案不同,ActiveState平台可以:188bet金宝搏备用
- 跟踪瞬时依赖关系和链接的C库
- 识别依赖性中的依赖性
- 在提交更改之前,可视化地表示对依赖项树的更改
发现应用程序中Python、Perl或Tcl依赖项中的漏洞。的188bet金宝搏备用ActiveState平台的物料清单(BOM)特性让您全面了解开源依赖项,包括任何公开的漏洞(又名cve或公共漏洞和暴露),以便尽早修复它们。毕竟,修复缺陷的成本在您发现缺陷的时候越接近生产就越高。
根据美国国家漏洞数据库(NVD)的数据,尽管开源软件通常能更快地找到和修复漏洞,但被发现的开源漏洞数量一直在急剧上升:
- 2006 - 2016-每年有4000至8000个漏洞
- 2017-每年14600个漏洞
- 2019-每年2.2万个漏洞
攻击者只需要一个未修补的漏洞就可以利用,而防御者则需要修补所有漏洞。
开源安全-材料数据表的清单理解应用程序的风险
随着问题的发现和修复,应用程序风险随时间而变化。但当应用程序风险增加时,很可能是由于以下一个或多个原因:
- 软件腐朽开源组件使用的时间越长,漏洞或其他缺陷被发现的几率就越大。
- 大的攻击表面-大多数应用程序由数十个甚至数百个开源包组成。如果不及时修复一个包中的一个关键漏洞,可能会造成严重的安全风险。
- 受害-攻击者可能复制一个流行的开源包,将其重命名为类似的名称,添加他们自己的恶意代码,然后将其上传到社区的包存储库。毫无戒心的开发人员可能会不小心使用这个包,并在不知情的情况下将后门引入他们的应用程序。
其结果是数据泄露、勒索软件攻击和其他网络攻击的数量不断上升。
使用bom的应用安全
减少开源供应链中出现的软件漏洞的最有效策略之一是BOM,它是构建应用程序所需的全面成分列表。BOM可以包括:
- 一种编程语言的版本
- 来自该语言生态系统的开源包,以及它们的依赖关系
- 操作系统级依赖关系
- 专有代码包(例如。,编写开发人员编写的代码)
- 配置(即。元数据,如版本号、开源许可等)
- CVE报告,显示每个组件的漏洞
材料清单提供了对软件应用程序、其所有部分以及任何供应链漏洞的深入了解。你不能保护你不知道的东西,但是bom也通过节省数百个小时的风险分析和漏洞管理来降低成本。
Acti188bet金宝搏备用veState平台物料清单
Acti188bet金宝搏备用veState平台为您的所有Python、Perl和Tcl开源组件提供了一个BOM视图,在多个级别识别漏洞,包括:
- Python、Perl和Tcl编程语言
- Python、Perl和Tcl生态系统包和依赖(以及依赖的依赖)
- Windows和Linux操作系统级依赖
- 配置/版本
然而,开源组件的相互关联特性意味着在一个级别上修补漏洞(例如。例如,将一个包升级到最新版本以解决CVE)会对其他组件产生级联效应。Acti188bet金宝搏备用veState平台在您提交所有更改之前会突出显示所有更改,以确保您理解后续结果。
与其他BOM解决方案不同,ActiveState平台可以通过提供以下功能188bet金宝搏备用进一步降低应用程序风险:
- 随着时间的推移,维护-恢复旧版本的生态系统和操作系统级依赖,这样你就可以重新创建你原来的开发环境,并修复旧版本应用程序的漏洞。
- 从源代码构建-通过自动从源代码构建所有包和依赖,防止供应链攻击,确保不包含恶意代码。
- 减少攻击表面-确保您的软件只包含在生产中运行应用程序所需的软件包和依赖项。
通过ActiveState平台,使所有涉众能够更好地管理开源供应链漏洞和应用程序安全风险。188bet金宝搏备用
什么是ActiveSta188bet金宝搏备用te平台?
ActiveState是全球数百万开发人员的实际标准,他们一直在使用我们的商业支持的、安全的188abc金博宝 20多年了。有了ActiveS188bet金宝搏备用tate平台,开发人员现在可以自动构建自己的Python、Perl或Tcl环境,适用于Windows、Linux或Mac-all,而不需要语言或操作系统专业知识。
如何尝试ActiveState188bet金宝搏备用平台
开发人员可以注册我们的平台并立即使用它为他们的Python项目构建运行时环境。或者他们也可以获取Python、Perl和Tcl核心语言的预编译版本和许多流行的第三方模块-免费下载和用于开发目的。
相关资源:
清单:任何组织的关键开源问题