原标题:DepShield可自动化监控相关开源专案程式码漏洞
开源DevOps服务供应商Sonatype发表DepShield,这是一个针对GitHub的应用程序,能自动识别开源相依专案程式码中的漏洞,提醒开发人员需要修补的部分,提高企业对于开源治理的能力。
Sonatype提到,根据他们针对DevSecOps社交的调查,2018年被怀疑或是证实泄漏企业,其中有三分之一来自开源软件的漏洞,而这个数字从2017年以来增长了55%。Sonatype释出的DepShield,则能帮助企业在其DevOps工作管线中,自动化提升应用程序安全性,以维持开源程式码与专案的安全性。
DepShield使用了Sonatype自家开源软件索引,将已知的开源资料直接整合进GitHub私人或是公开程式码储存库中,让开发人员可以立即识别,并且加以修补。DepShield会持续监控专案,并且自动产生安全漏洞讯息,开发人员能够查看GitHub问题追踪器已知安全性问题,并通过点击相关讯息,检视CVE和CVSS的详细资讯。另外,也能根据漏洞讯息,确定受影响的专案版本与范围。
DepShield现在免费释出,企业可用于私人与公开的GitHub储存库,并且可以与软件专案管理及自动构建工具Apache△Maven合用,目前支援JavaScript,而Python还要再等等。?
?
iThome△Security
相关:
图片来源: Aqua 主打容器安全的新创公司Aqua,今年陆续推出免费容器映像档扫描工具MicroScanner,以及让该工具串接Jenkins流程。而现在Aqua又开源释出一款容器资安工具Kube-hunter,这款新工具锁定了Kubernetes容器基
L1TF漏洞攻击手法让云端服务商动起来,DigitalOcean也提出因应之道
近日Intel发布了L1终端故障(L1 Terminal△Fault,L1TF)漏洞后,公有云厂商陆续也启动修补工作,避免影响企业用户。像是Google公有云运算服务,就采用主机隔离功能,确保各虚拟机不会共用作业系统核心,同时也开始监
图片来源: Okta 身份管理服务供应商Okta的安全工程师Andrew△Lee日前揭露,微软的Active△Directory同盟服务(Active△Directory△Federated△Services,ADFS)在处理多因素身份认证(Multi-Factor△Authentication,
利用macOS High Sierra漏洞以虚拟点击就能绕过安全机制
图片来源: Patrick△Wardle 前NSA骇客、现任安全公司Digita△Security研究长Patrick△Wardle发现 macOS△High△Sierra有一去年发现可让骇客执行合成点击攻击的漏洞,现在又再次出现。Wardle上周在Def△Con骇客大会上
示意图,与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373是个远端程式攻击漏洞,存在于IE