我有一个使用大约50多种开源软件的工具,如果其中任何一种开源软件被利用并产生了新的漏洞,我需要立即得到通知,我应该修补相应的软件。
那么,有什么办法可以做到这一点?
我搜索了一些内容,例如CVE报告,开源威胁情报平台,但是我找不到解决方法。
答案 0 :(得分:0)
很好,很好的问题!许多人没有意识到这个问题,当您考虑所涉及的问题时,这是巨大的。
事实是,这样做很难。在某些工具(例如,节点软件包管理器(NPM))中,可以使用npm audit来检查安全性数据库。然后,这将生成关于存储库列表中的漏洞的报告(其中大多数都是开放源代码),并说明其漏洞状态。
但是,解决此问题的出色工具称为this。一探究竟。本质上,这是对类固醇的npm审核,具有强大的客户支持(我不为他们工作,所以不要在这里出售)。
做什么
您可以将npm audit或Snyk集成到管道中(如果使用此设置,则CI最好)。然后,在每次部署时,您都可以确保至少检查了存储库中的漏洞。