我有一个使用大约 50 多个开源软件的工具,如果这些开源软件中的任何一个被利用并引发了新的漏洞,我需要立即收到通知,并且我应该修补相应的软件。
那么,有什么办法可以做到这一点吗?
我搜索了一些东西,比如 CVE 报告、开源威胁情报平台,但没能找到方法。
最佳答案
很好,很好的问题!许多人没有意识到这个问题,当你考虑其影响时,它是巨大的,就像你所知道的那样。
事实是,这样做非常困难。在某些工具中,例如节点包管理器 (NPM),您可以使用 npmaudit
来检查安全数据库。然后,这将在存储库列表中生成漏洞报告(其中大多数通常是开源的)并解释其漏洞状态。
但是,解决这个问题的一个很棒的工具叫做 Synk 。一探究竟。它本质上是加强版的 npm 审计,并有很好的客户支持(我不为他们工作,所以不想在这里销售)。
做什么
您可以将 npmaudit
或 Snyk 集成到您的管道中(如果您有此设置,则最好在 CI 中)。然后,在每次部署时,您可以确保至少检查存储库是否存在漏洞。
关于python - 我们如何自动知道开源软件是否有新的漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55567736/