MetaDefender Software Supply Chain繼續增強 AppSec 和 DevSecOps 團隊在保護應用程式免受供應鏈攻擊方面的經驗和效率。在此 v2.5.0 版本中,我們推出了一系列功能,著重於簡化漏洞管理和 SBOM 標準化。這些新功能可讓您更輕鬆地管理容器、二進位檔和原始碼的安全性,而且速度更快、規模更大。
增強儲存庫和套件報告的使用者介面
在儲存庫和套件層級優化弱點管理並更快地分流問題。
CVE 搜尋
識別受已知漏洞影響的元件。
基於 Webhook 的 GitLab 和 JFrog 二檔案掃描
基於 Webhook 的 GitLab 和 JFrog 二檔案掃描
JFrog Artifactory 中的擴充補救措施
透過複製、移動和刪除二進位元件,更快速地處理漏洞,並將風險暴露降至最低。
CycloneDX SBOM 匯出
生成報告以達到合規性和標準化。
儲存庫與套件報告:最佳化的Vulnerability Management
我們精煉的介面可讓您彈性檢視和分析專案中儲存庫和套件中的威脅資料。
報告索引標籤現在提供兩種不同的檢視模式 (資源庫層級與套件層級),以支援高層級的可視性與詳細的元件層級深入檢視。Software 開發團隊可以深入瞭解資源庫中所有已發現的套件,並輕鬆深入到特定套件進行進一步調查。
儲存庫層級檢視
此檢視提供掃描儲存庫的摘要,包括:
- 偵測到的漏洞、惡意軟體和秘密
- 總包數與易受攻击的包數
- 許可證風險狀態
按一下每個儲存庫,即可檢視詳細的 SBOM 和掃描結果。
套件層級檢視
此檢視著重於專案中使用的軟體套件,會顯示:
- 套件名稱
- 包含漏洞的相關儲存庫
- 弱點狀態
- 許可證風險分類
- 風險嚴重性等級
篩選選項
您也可以依據下列方式篩選掃描結果:
- 安全風險嚴重性 (嚴重、高、中、低、未知)
- 授權狀態 (允許、封鎖)
- 活躍連線(儲存庫、Container、二進制)
這些雙重視角可支援 AppSec、DevSecOps 和工程團隊之間的不同角色和工作流程,以實現更可行的風險優先順序排序,以及安全與工程之間更緊密的合作。
CVE 搜尋:立即識別已知漏洞
當有新的 CVE 公開時,團隊可以直接搜尋,以判斷環境中是否有任何元件受到影響,如此一來,他們就可以在最短的時間內回應這些威脅。此功能以持續更新的弱點資料庫為後盾,無須手動將 CVE 參考資料與特定套件或建置工件相關聯,即可進行有針對性的分流。
對於管理擁有數百個掃描元件的大型複雜專案的團隊而言,此更新可強化事件回應工作流程和漏洞揭露程序。
針對 JFrog 二進位元的強化補救措施
在 v2.5.0,MetaDefender Software Supply Chain 繼續深化我們與 JFrog Artifactory 的整合,強化修復功能:
複製修復
在製成品儲存庫之間安全地傳輸已驗證的二進位套件,或將可疑套件隔離至檢疫儲存庫。
硬刪除修復
定義規則以永久移除受危害的二進位檔案,讓您的儲存庫保持乾淨,並將工件相關的風險暴露降至最低。
在CI/CD 管道中管理工件時,MetaDefender Software 供Supply Chain 可以掃描最初儲存在「未驗證」暫儲存存庫中的工件,並在驗證後將其移至「安全」儲存庫。這有助於確保工件在部署前是安全和合規的。透過自動化此流程,團隊可以省去手動步驟,同時保持工件衛生、可追溯性,以及整個管道的受控存取。
作為一個廣泛使用的二進位儲存庫管理器,JFrog Artifactory 在許多 CI/CD 管道中扮演著核心角色 - 儲存建立輸出、託管第三方依賴,以及管理發佈工件。對於 DevSecOps 團隊來說,確保只有經過驗證、符合政策的二進位檔案才會被晉升到下游階段,有助於支援工件治理政策、加強建置來源,以及降低工件層級供應鏈威脅的風險。
使用 GitLab 和 JFrog Artifactory 的 Webhooks 自動進行安全檢查
MetaDefender Software Supply Chain 在支援基於 webhook 的觸發器,以應對關鍵開發事件自動進行安全掃描。這可在JFrog Artifactory或GitLab 發生特定事件時自動啟動安全掃描。
- 在程式碼提交或拉取請求之後立即觸發掃描。
- 在推送或合併到主要分支時掃描原始碼。
主要特點
- 特定於工作流程的 URL:為每個連線的儲存庫產生唯一的 webhook URL,讓 GitLab 或 JFrog Artifactory 的設定更容易。
- 基於事件的觸發器:在推送事件或拉取請求建立時自動啟動掃描,以確保在整個開發週期內持續驗證。
- 集中式庫存管理:直接從掃瞄器的庫存螢幕管理和監控作用中的 Webhooks,以獲得控制權和可視性。
優勢
- 在 CI/CD 工作流程中整合新元件的持續驗證。
- 風險的即時可見性 - 新元件或更新元件在專案中導入或修改後,會立即進行評估。
- 減少手動工作和營運開銷。
- 可擴充的SDLC 安全性,適用於快速移動的軟體部署。
關於MetaDefender Software Supply Chain
MetaDefender Software Supply Chain 透過掃描每個軟體庫(包括開放原始碼的第三方元件)來識別安全威脅和漏洞,從而強化您的 DevSecOps 管線。透過我們的偵測與防禦技術,可保護您的 SDLC 免受惡意軟體與漏洞的侵襲,進而強化應用程式的安全性與合規性。
匯出 SBOM 成 CycloneDX 格式
為符合法規要求並實現生態系統整合,開發與安全團隊可以 CycloneDX 格式匯出SBOM(軟體物料清單)。
這有助於努力:
- 以標準格式簡化 SBOM 的產生。
- 可向監管機構或第三方利害關係人提交 SBOM。
- 確保工具、生態系統和供應鏈合作夥伴之間的相容性。
- 符合不斷演進的軟體供應鏈安全標準,而無需額外的開銷。
更多資訊
我們將持續擴展MetaDefender Software 供Supply Chain的功能,為安全與 DevSecOps 團隊提供所需的自動化、可視性與控制功能,以大規模傳送安全軟體。如需針對這些新功能進行深入瞭解,請聯絡我們的網路安全專家。
版本詳細資訊
- 產品:MetaDefender Software Supply Chain
- 發佈日期:16四月2025
- 發佈說明:2.5.0
- 下載位址 OPSWAT 門戶
欲了解更多訊息,請諮詢我們的網路安全專家。
