略過到主要內容

卡巴斯基®開源軟體威脅資料饋送

卡巴斯基開源軟體威脅資料饋送能納入 DevSecOps 流程,用於監控所使用的開源元件,以偵測可能隱藏在其中的威脅。
與我們聯絡

大多數軟體開發人員在其開發週期中都包含開源軟體包,並且通常會理所當然地信任此類軟體包的完整性。 然而,開源軟體經常包含嚴重的漏洞和故意隱藏的威脅,可能導致使用此類軟體包的產品受到威脅並容易受到操縱,甚至包括可怕的供應鏈攻擊。

隨著網路威脅的數量和嚴重程度不斷上升,經典的 DevOps 軟體開發方法開始轉向更注重安全的方法, 即 DevSecOps,其主張從最初的規劃和設計階段到開發、測試及以後實施安全實踐。 顯然,該思維方式也需要應用於開發週期中使用的任何開源軟體。

卡巴斯基設計了優越的數據饋送,以幫助將此安全第一的方法應用於開源軟體 - 卡巴斯基開源軟體威脅資料饋送。 其為非二進制、純文字的資料集,揭示卡巴斯基已知的數百萬個開源軟體包中的威脅和漏洞。

該資料饋送涵蓋以下威脅類型:

  • 存在漏洞的軟體包
  • 含有惡意程式碼的軟體包
  • 包含加密礦工、駭客工具等危險軟體的軟體包。
  • 包含政治口號或在特定地區改變功能的受損軟體包

此來源提供有關以下儲存庫*的軟體包的資訊,此類儲存庫會定期進行掃描:

  • Pypi
  • Npm
  • Nuget
  • Maven
  • Composer
  • Go
  • Rpm
  • Debian

所有儲存庫中的所有套件都會自動與以下漏洞警告進行比對:

  • GitHub Security Advisory
  • CVE MITRE
  • Debian Security Advisory
  • CentOS Security Alerts
  • RedHat Security Advisory (僅提供此公告的交叉連結)。

除了套件清單之外,還提供了以下有用的上下文:

  • 針對漏洞:

    • 與生態系的連接
    • 系統影響
    • 漏洞版本列表
    • 漏洞自動化 CPE 版本
    • 已修復漏洞的推薦版本列表
    • 作業系統版本支援(針對 *nix 套件)
    • 漏洞公告交叉連結
    • 目前在野使用的漏洞雜湊值
  • 針對惡意和受損的套件:

    • 與生態系的連接
    • 系統影響:惡意軟體、駭客工具、其他
    • 嚴重性
    • 受損的套件版本
    • 受損套件版本的雜湊值
    • CWE(常見弱點枚舉):目前僅適用於惡意套件

開源軟體威脅資料饋送的推薦用例如下:根據一個或多個參數(例如套件名稱、套件版本等)將饋送中的套件與開發中使用的套件進行配對。

該饋送以 JSON 格式傳送。

注意:配對必須由客戶的工具執行,因為卡巴斯基僅提供基於文字的饋送。 其讓該資料饋送和所有其他卡巴斯基資料饋送 100% 保證可供任何公司和實體安全使用,即使是可能不願意採用卡巴斯基產品的國家的公司和實體。

如果您想了解更多資訊,請點擊下面的“聯絡我們”按鈕,並告知我們您需要更多有關卡巴斯基開源軟體威脅資料饋送的資訊,我們的代表將盡快與您聯繫。

* 隨著其他儲存庫越來越受歡迎也可能獲得支援