Как мы можем узнать, есть ли какие-либо новые уязвимости для автоматического открытия программного обеспечения с открытым исходным кодом?

Question

У меня есть инструмент, который использует около 50+ программ с открытым исходным кодом, если какое-либо из этих программ с открытым исходным кодом было использовано и обнаружена новая уязвимость, мне нужно немедленно уведомить об этом и я должен исправить это соответствующее программное обеспечение.

Итак, есть ли способ сделать это?

Я искал несколько вещей, таких как отчеты CVE, платформы разведки угроз с открытым исходным кодом, но мне не удалось найти путь к нему.

Answer 1

Отлично, отличный вопрос!Многие люди не знают об этой проблеме, это огромно, когда вы думаете о последствиях, как у вас есть.

По правде говоря, это довольно сложно сделать.В некоторых инструментах, таких как Node Package Manager (NPM), вы можете использовать npm audit для проверки базы данных безопасности.Затем будет создан отчет об уязвимостях в списке репозиториев (большинство из которых, как правило, с открытым исходным кодом) и объяснено их состояние уязвимости.

Однако отличный инструмент, который решает эту проблему, называется Synk .Проверьте это.Это, по сути, аудит на стероидах, с хорошей поддержкой клиентов (я не работаю на них, поэтому не пытаюсь продавать здесь).

Что делать

Вы можете интегрировать npm audit или Snyk в свой конвейер (лучше всего в CI, если у вас есть такая настройка).Затем при каждом развертывании вы можете убедиться, что репозитории хотя бы проверены на наличие уязвимостей.