大多數軟體開發人員在其開發週期中都包含開源軟體包,並且通常會理所當然地信任此類軟體包的完整性。 然而,開源軟體經常包含嚴重的漏洞和故意隱藏的威脅,可能導致使用此類軟體包的產品受到威脅並容易受到操縱,甚至包括可怕的供應鏈攻擊。
隨著網路威脅的數量和嚴重程度不斷上升,經典的 DevOps 軟體開發方法開始轉向更注重安全的方法, 即 DevSecOps,其主張從最初的規劃和設計階段到開發、測試及以後實施安全實踐。 顯然,該思維方式也需要應用於開發週期中使用的任何開源軟體。
卡巴斯基設計了優越的數據饋送,以幫助將此安全第一的方法應用於開源軟體 - 卡巴斯基開源軟體威脅資料饋送。 其為非二進制、純文字的資料集,揭示卡巴斯基已知的數百萬個開源軟體包中的威脅和漏洞。
該資料饋送涵蓋以下威脅類型:
- 存在漏洞的軟體包
- 含有惡意程式碼的軟體包
- 包含加密礦工、駭客工具等危險軟體的軟體包。
- 包含政治口號或在特定地區改變功能的受損軟體包
此來源提供有關以下儲存庫*的軟體包的資訊,此類儲存庫會定期進行掃描:
- Pypi
- Npm
- Nuget
- Maven
- Composer
- Go
- Rpm
- Debian
所有儲存庫中的所有套件都會自動與以下漏洞警告進行比對:
- GitHub Security Advisory
- CVE MITRE
- Debian Security Advisory
- CentOS Security Alerts
- RedHat Security Advisory (僅提供此公告的交叉連結)。
除了套件清單之外,還提供了以下有用的上下文:
- 針對漏洞:
- 與生態系的連接
- 系統影響
- 漏洞版本列表
- 漏洞自動化 CPE 版本
- 已修復漏洞的推薦版本列表
- 作業系統版本支援(針對 *nix 套件)
- 漏洞公告交叉連結
- 目前在野使用的漏洞雜湊值
- 針對惡意和受損的套件:
- 與生態系的連接
- 系統影響:惡意軟體、駭客工具、其他
- 嚴重性
- 受損的套件版本
- 受損套件版本的雜湊值
- CWE(常見弱點枚舉):目前僅適用於惡意套件
開源軟體威脅資料饋送的推薦用例如下:根據一個或多個參數(例如套件名稱、套件版本等)將饋送中的套件與開發中使用的套件進行配對。
該饋送以 JSON 格式傳送。
注意:配對必須由客戶的工具執行,因為卡巴斯基僅提供基於文字的饋送。 其讓該資料饋送和所有其他卡巴斯基資料饋送 100% 保證可供任何公司和實體安全使用,即使是可能不願意採用卡巴斯基產品的國家的公司和實體。
如果您想了解更多資訊,請點擊下面的“聯絡我們”按鈕,並告知我們您需要更多有關卡巴斯基開源軟體威脅資料饋送的資訊,我們的代表將盡快與您聯繫。
* 隨著其他儲存庫越來越受歡迎也可能獲得支援