关于供应链:软件供应链受威胁下的应对方法供应链安全管理平台的五大工具能力

24次阅读

共计 2692 个字符,预计需要花费 7 分钟才能阅读完成。

背景

现在,软件供应链平安问题曾经成为一个全球性的难题。依据数据统计,2017 年寰球蒙受网络攻击的公司比例曾经达到了 93%,其中很大一部分是因为软件供应链平安问题导致的。而在中国,据统计,2019 年全国共产生了 2.7 万起网络安全事件,其中不乏因软件供应链平安问题而导致的事件。

软件供应链平安问题的呈现起因也较为简单,包含第三方供应商的平安危险、源代码泄露、恶意软件等,并波及到软件生命周期的所有环节,包含开发、测试、交付、保护等。因为软件供应链中各环节之间相互依赖,一旦其中某个环节呈现安全漏洞,将会影响整个供应链,给企业带来不可估量的损失。越来越多的企业开始关注软件供应链平安问题,为了保障软件供应链的平安,许多企业都开始寻求解决方案。在这种状况下,墨菲平安应运而生。

墨菲平安是一款功能强大的软件平安检测工具,它能够对软件进行全面的平安检测和剖析,帮忙企业和开发者发现软件中存在的安全隐患和危险。墨菲平安能够对代码进行检测,剖析软件的成分和许可证合规性等,让用户更加安心地应用软件。以下将具体介绍墨菲平安的检测工具及应用办法。

墨菲平安平台的五大产品

墨菲平安的“苏木 - 软件成分剖析”、“京墨 - 源平安治理网关”、“南星 - 云原生容器平安”、“赤剑 - 许可证合规治理”、“贯众 - 破绽情报预警”这五大产品,夯实了软件供应链平安平台的能力。

苏木 - 软件成分剖析

苏木领有行业当先的破绽知识库,反对 10min 疾速接入各开发流程,将代码我的项目存在的平安危险清晰展现,并反对 IDE 插件、GitHub 等形式疾速实现破绽修复,轻松治理开源危险。

  • 无需依赖源码,只需二进制软件包 / 固件即可疾速检测
  • 检测二进制软件包 / 固件中存在的破绽、许可证类型及合规危险,并提供修复倡议
  • 反对多种资产辨认形式:如源代码、二进制,编译包辨认,笼罩全支流开发语言:如 java,python,JavaScript…
  • 高准动静 SBOM 清单剖析,树状层级清晰展现组件依赖关系
  • 领有业余的破绽库,可确定代码缺点点及利用条件,防止误报或修复大量无奈利用的破绽
  • 清晰定位缺点组件,各版本升级兼容性评分目了然,一键修复省时省力更省心

京墨 - 源平安治理网关

京墨从源头卡住平安危险,平安能力左移前置,使代码平安检测用于从开发到测试的 DevSecOps 全流程之中。可无缝对接 Nexus,Jfrog,反对黑白名单配置管理、卡位治理及制品检测,升高企业的老本和危险。

  • 10 分钟疾速接入,深度交融 DevOps,减速平安开发
  • 辨认官网源是否被投毒,轻松实现高风险组件的基线治理及外部二次开发引入高危组件风险管理
  • 全量检测制品库,辨认制品存在的破绽、许可证合规危险及 SBOM 清单
  • 辨认构建过程中引入的高危组件及高危破绽,提供投毒检测能力,升高后续平安老本

南星 - 云原生容器平安

南星可提供容器镜像治理,通过极低的接入老本、对镜像根底组件辨认和容器镜像利用检测,来继续升高交付平安危险。

  • 辨认容器镜像中的破绽信息并提供修复倡议
  • 辨认容器镜像中依赖的组件的许可证类型及合规危险
  • 提供残缺的资产清单,理清资产间依赖关系

赤剑 - 许可证合规治理

赤剑会自动识别开源组件协定,来升高许可证侵权危险。目前已笼罩 3000+ 许可证类型,可做到对精准辨认及合规危险疾速治理。

  • 反对函数级代码片段剖析,清晰展现组件依赖,高准确度笼罩
  • 反对二进制及嵌入式固件检测,通过文件提取接入检测,压缩壳、安装包等,满足多种检测形式需要
  • 判断许可证危险等级、合规危险及疾速治理,躲避产权危险

贯众 - 破绽情报预警

贯众笼罩超 6w+ 支流组件,并已寰球首发多个 0day 预警,破绽预警已达分钟级,从容应对平安危险。

  • 最齐备的破绽知识库,助你疾速响应排查
  • 宏大的规范缺点常识数据,帮你疾速定位和修复
  • 已胜利屡次预警大范畴通用组件破绽
  • 全准快精的破绽情报,90% 快于同行,通告信息蕴含修复计划、攻击方式、攻打评估

如何应用墨菲平安来实现一次检测?

墨菲平安是一款简略易用的软件供应链平安检测工具,以下是具体的应用办法:

第一步:关上墨菲平安官方网站 – 点击进入控制台

官网地址:https://www.murphysec.com

第二步:点击创立工作 – 进入抉择接入形式页面 – 抉择适宜你的接入形式

目前已反对“JetBrains IDE 插件接入”、“GitLab 疾速接入”、“CLI 检测接入”、“GitHub 疾速接入”、“源文件上传接入”等多种形式

第三步:开始进入接入配置 – 设置后果处理规定 – 设置工作执行规定
  1. 抉择适合的接入形式后,实现对应配置,抉择检测的代码我的项目范畴后就能够检测了(见图一)。
  2. 当然也能够抉择对检测后果设置处理规定,开启音讯告诉将会更有利于施行主动治理,只有达到预警要求将会第一工夫告诉各方人员(见图二)。
  3. 还可抉择不同检测模式、是否同时检测许可证合规剖析及整个工作执行规定(见图三)。

(图一)

(图二)

(图三)

第四步:依据设置的工作执行规定进行检测 – 失去检测后果

(1)缺点组件代表该版本的组件存在破绽需解决,处理倡议分为强烈建议修复、倡议修复、可选修复 3 个等级来示意需解决的紧急水平;

(2)显示可一键修复的缺点组件,能够通过 IDEA 或 GitHub 进行疾速修复

(3)许可证危险:可辨认组件的许可证类型,判断是否存在抵触危险;

(4)反对显示残缺 SBOM 清单,能够切换树状 / 列表展现,并反对导出;

(5)反对多种分享形式,及时同步每一个危险给团队。

以上就是墨菲平安检测工具的应用介绍。

最初,附上流程图不便了解:

对于墨菲平安

墨菲平安是一家为您提供业余的软件供应链平安治理的科技公司,外围团队来自百度、华为、乌云等企业,领有超过十年的企业平安建设、平安产品研发及平安攻防教训。外围能力包含代码平安检测、开源组件许可证合规治理、云原生容器平安检测、软件成分剖析 (SCA) 等,丰盛的平安工具助您打造齐备的软件开发平安能力(DevSecOps)。

墨非平安为客户提供从供应链资产辨认治理、危险检测、安全控制、一键修复的残缺控制能力。同时产品能够极低成本的和现有开发流程中的各种工具一键买通,包含 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。产品反对 SaaS、私有化部署,目前已服务多家互联网、金融、人工智能、IOT 行业头部企业客户,目前墨菲平安曾经服务包含蚂蚁、安全、快手等在内的数百家企业客户。

官网地址:https://www.murphysec.com/

开源我的项目:https://github.com/murphysecu…

首发地址:https://www.murphysec.com/blo…

转载请注明出处

正文完
 0