MetaDefender Software Supply Chain tiếp tục nâng cao kinh nghiệm và hiệu quả của các nhóm AppSec và DevSecOps trong việc bảo vệ các ứng dụng khỏi các cuộc tấn công chuỗi cung ứng. Trong bản phát hành v2.5.0 này, chúng tôi giới thiệu một bộ tính năng tập trung vào việc quản lý lỗ hổng được đơn giản hóa và chuẩn hóa SBOM. Các khả năng mới này giúp quản lý bảo mật dễ dàng hơn trên các container, tệp nhị phân và mã nguồn - với tốc độ và quy mô.
Giao diện người dùng được cải tiến cho Báo cáo kho lưu trữ và gói
Tối ưu hóa việc quản lý lỗ hổng và phân loại vấn đề nhanh hơn ở cấp độ kho lưu trữ và gói.
Tìm kiếm CVE
Xác định các thành phần bị ảnh hưởng bởi các lỗ hổng đã biết.
Quét dựa trên Webhook cho GitLab và JFrog Binaries
Quét dựa trên Webhook cho GitLab và JFrog Binaries
Mở rộng các biện pháp khắc phục tại JFrog Artifactory
Xử lý lỗ hổng nhanh hơn và giảm thiểu rủi ro bằng cách sao chép, di chuyển và xóa các hiện vật nhị phân.
Xuất khẩu CycloneDX SBOM
Tạo báo cáo để tuân thủ và chuẩn hóa.
Báo cáo kho lưu trữ và gói: Đã tối ưu hóa Vulnerability Management
Giao diện tinh tế của chúng tôi cho phép xem và phân tích linh hoạt dữ liệu về mối đe dọa trong kho lưu trữ và gói trong dự án của bạn.
Tab Báo cáo hiện cung cấp hai chế độ xem riêng biệt (Cấp kho lưu trữ và cấp gói) để hỗ trợ khả năng hiển thị cấp cao cũng như thông tin chi tiết ở cấp thành phần. Software nhóm phát triển có thể hiểu sâu hơn về tất cả các gói được phát hiện trong kho lưu trữ và dễ dàng tìm hiểu sâu hơn về một gói cụ thể để điều tra thêm.
Chế độ xem cấp độ kho lưu trữ
Chế độ xem này cung cấp bản tóm tắt về các kho lưu trữ đã quét, bao gồm:
- Các lỗ hổng, phần mềm độc hại và bí mật đã được phát hiện
- Tổng số gói so với số lượng gói dễ bị tấn công
- Tình trạng rủi ro giấy phép
Nhấp vào từng kho lưu trữ cho phép bạn xem SBOM chi tiết và kết quả quét.
Chế độ xem cấp gói
Chế độ xem này tập trung vào các gói phần mềm được sử dụng trong dự án của bạn, hiển thị:
- Tên gói
- Các kho lưu trữ liên quan chứa lỗ hổng
- Tình trạng dễ bị tổn thương
- Phân loại rủi ro giấy phép
- Mức độ nghiêm trọng của rủi ro
Tùy chọn bộ lọc
Bạn cũng có thể lọc kết quả quét theo:
- Mức độ nghiêm trọng của rủi ro bảo mật (Nguy cấp, Cao, Trung bình, Thấp, Không xác định)
- Trạng thái giấy phép (Được phép, Bị chặn)
- Kết nối đang hoạt động (Kho lưu trữ, Container , Nhị phân)
Những góc nhìn kép này hỗ trợ các vai trò và quy trình làm việc khác nhau giữa AppSec, DevSecOps và nhóm kỹ thuật để cho phép ưu tiên rủi ro có thể hành động được nhiều hơn và cộng tác chặt chẽ hơn trong lĩnh vực bảo mật và kỹ thuật.
Tìm kiếm CVE: Xác định ngay lập tức các lỗ hổng đã biết
Khi một CVE mới được tiết lộ, các nhóm có thể tìm kiếm trực tiếp để xác định xem có thành phần nào trong môi trường của họ bị ảnh hưởng hay không, để họ có thể phản hồi các mối đe dọa này với độ trễ tối thiểu. Được hỗ trợ bởi cơ sở dữ liệu lỗ hổng được cập nhật liên tục, tính năng này cho phép phân loại mục tiêu mà không cần phải liên kết thủ công các tham chiếu CVE với các gói cụ thể hoặc hiện vật xây dựng.
Đối với các nhóm quản lý các dự án lớn và phức tạp với hàng trăm thành phần được quét, bản cập nhật này có thể cải thiện quy trình ứng phó sự cố và quy trình tiết lộ lỗ hổng.
Cải thiện khắc phục cho JFrog Binaries
Trong v2.5.0, MetaDefender Software Supply Chain tiếp tục tăng cường tích hợp với JFrog Artifactory với khả năng khắc phục được cải tiến:
Sao chép khắc phục
Chuyển các gói nhị phân đã xác minh một cách an toàn giữa các kho lưu trữ hiện vật hoặc cô lập các gói đáng ngờ vào kho lưu trữ cách ly.
Khắc phục xóa cứng
Xác định các quy tắc để xóa vĩnh viễn các tệp nhị phân bị xâm phạm, giữ cho kho lưu trữ của bạn sạch sẽ và giảm thiểu rủi ro liên quan đến hiện vật.
Để đưa điều này vào bối cảnh, khi quản lý các hiện vật trong đường ống CI/CD , các hiện vật ban đầu được lưu trữ trong kho lưu trữ dàn dựng “chưa được xác minh” có thể được quét bằng MetaDefender Software Supply Chain và được chuyển đến kho lưu trữ "an toàn" sau khi xác minh. Điều này giúp đảm bảo các hiện vật an toàn và tuân thủ trước khi triển khai. Bằng cách tự động hóa quy trình này, các nhóm có thể loại bỏ các bước thủ công trong khi vẫn duy trì vệ sinh hiện vật, khả năng truy xuất nguồn gốc và quyền truy cập được kiểm soát trên toàn bộ đường ống.
Là một trình quản lý kho lưu trữ nhị phân được sử dụng rộng rãi, JFrog Artifactory đóng vai trò trung tâm trong nhiều quy trình CI/CD - lưu trữ đầu ra bản dựng, lưu trữ các phụ thuộc của bên thứ ba và quản lý các hiện vật phát hành. Đối với các nhóm DevSecOps, việc đảm bảo rằng chỉ các nhị phân đã xác minh, tuân thủ chính sách mới được đưa lên các giai đoạn hạ nguồn giúp hỗ trợ các chính sách quản trị hiện vật, tăng cường nguồn gốc bản dựng và giảm rủi ro của các mối đe dọa chuỗi cung ứng ở cấp độ hiện vật.
Tự động kiểm tra bảo mật bằng Webhooks cho GitLab và JFrog Artifactory
MetaDefender Software Supply Chain hiện hỗ trợ các trình kích hoạt dựa trên webhook để tự động quét bảo mật để phản hồi các sự kiện phát triển chính. Điều này cho phép quét bảo mật được tự động khởi tạo khi các sự kiện cụ thể xảy ra trong JFrog Artifactory hoặc GitLab .
- Kích hoạt quét ngay sau khi xác nhận mã hoặc yêu cầu kéo.
- Quét mã nguồn khi đẩy hoặc hợp nhất vào nhánh chính.
Các tính năng chính
- URL dành riêng cho quy trình làm việc: Tạo URL webhook duy nhất cho mỗi kho lưu trữ được kết nối, cho phép cấu hình dễ dàng trong GitLab hoặc JFrog Artifactory.
- Kích hoạt dựa trên sự kiện: Tự động khởi tạo quét khi có sự kiện đẩy hoặc yêu cầu kéo để đảm bảo xác thực liên tục trong suốt chu kỳ phát triển.
- Quản lý hàng tồn kho tập trung: Quản lý và giám sát các webhook đang hoạt động trực tiếp từ màn hình hàng tồn kho của máy quét để kiểm soát và hiển thị.
Lợi ích
- Tích hợp xác thực liên tục các thành phần mới vào quy trình làm việc CI/CD.
- Khả năng hiển thị rủi ro theo thời gian thực – các thành phần mới hoặc được cập nhật sẽ được đánh giá ngay khi chúng được đưa vào hoặc sửa đổi trong dự án.
- Giảm bớt công sức thủ công và chi phí vận hành.
- Bảo mật SDLC có thể mở rộng để triển khai phần mềm nhanh chóng.
Về MetaDefender Software Supply Chain
MetaDefender Software Supply Chain tăng cường đường ống DevSecOps của bạn bằng cách quét mọi thư viện phần mềm, bao gồm các thành phần của bên thứ ba nguồn mở để xác định các mối đe dọa và lỗ hổng bảo mật. Với các công nghệ phát hiện và phòng ngừa của chúng tôi, SDLC của bạn được bảo vệ khỏi phần mềm độc hại và lỗ hổng để tăng cường bảo mật ứng dụng và tuân thủ.
Xuất SBOM sang định dạng CycloneDX
Để đáp ứng các yêu cầu về tuân thủ và cho phép tích hợp hệ sinh thái, các nhóm phát triển và bảo mật có thể xuất SBOM (Biểu kê vật tư Software ) theo định dạng CycloneDX.
Điều này hỗ trợ những nỗ lực nhằm:
- Đơn giản hóa việc tạo SBOM theo các định dạng chuẩn.
- Cho phép gửi SBOM tới cơ quan quản lý hoặc bên thứ ba có liên quan.
- Đảm bảo khả năng tương thích giữa các công cụ, hệ sinh thái và đối tác trong chuỗi cung ứng.
- Đáp ứng các tiêu chuẩn bảo mật chuỗi cung ứng phần mềm đang phát triển mà không cần thêm chi phí.
Sẽ có thêm nhiều hơn nữa
Chúng tôi đang tiếp tục mở rộng MetaDefender Software Supply Chain khả năng cung cấp cho các nhóm bảo mật và DevSecOps khả năng tự động hóa, khả năng hiển thị và kiểm soát mà họ cần để cung cấp phần mềm bảo mật ở quy mô lớn. Để được hướng dẫn chi tiết về các tính năng mới này, hãy liên hệ với các chuyên gia an ninh mạng của chúng tôi.
Chi tiết phát hành
- Sản phẩm: Supply Chain Software MetaDefender
- Ngày phát hành: 16 Tháng tư 2025
- Ghi chú phát hành: 2.5.0
- Tải về từ OPSWAT Cổng
Để biết thêm thông tin, hãy trao đổi với các chuyên gia an ninh mạng của chúng tôi .
