我有一个使用大约50多个开源软件的工具,如果任何这些开源软件被利用并引发新的漏洞,我需要立即得到通知,我应该修补相应的软件。
那么,有没有办法做到这一点?
我搜索了一些像CVE报告,开源威胁情报平台这样的东西,但我找不到它的方法。
太好了,很棒的问题!很多人都没有意识到这个问题,当你想到这个问题时,这个问题就很大了。
事实是,这样做很困难。在某些工具(如节点包管理器(NPM))中,您可以使用npm audit来检查安全数据库。然后,这将生成存储库列表中的漏洞报告(大多数通常是开源的)并解释其漏洞状态。
但是,一个解决这个问题的好工具叫做Synk。看看这个。它本质上是对类固醇的npm审核,有很好的客户支持(我不为他们工作,所以不要在这里卖)。
该怎么办
您可以将npm audit或Snyk集成到您的管道中(如果您有此设置,则最好使用CI)。然后,在每次部署时,您都可以确保至少已检查存储库是否存在漏洞。