GTLC全球技术领导力峰会·上海站,首批讲师正式上线! 了解详情
写点什么

WhiteSource 推出免费开源的漏洞检查工具

2018 年 8 月 14 日

安全和许可证合规性管理解决方案提供商 WhiteSource 推出了 Vulnerability Checker ,这是一款新的、免费的、独立 CLI 工具,能够针对严重的开源漏洞发出警报。

Vulnerability Checker 桌面应用程序可以直接从 WhiteSource 网站上下载,用户可以用它导入和扫描任何库,并可以在选定的开发项目中检查上个月的 50 大漏洞。如果扫描的库中有任何开源组件包含上个月披露的顶级开源安全漏洞中的一个或多个,Vulnerability Checker 就会发出警报。

每个月,开源社区贡献者和研究人员就会发布许多在开源项目中发现的新安全漏洞。在其“顶级开源安全漏洞”报告中,WhiteSource 研究团队就会概要介绍过去一个月中对用户影响最大的漏洞,帮助促进开源安全性和遵从性。WhiteSource 新推出的Vulnerability Checker 会同步其研究团队的月度报告,检测用户项目中的所有开源组件,如果检测到任何月度顶级漏洞,就会发出警告。

InfoQ 采访了 WhiteSource 联合创始人兼首席执行官 Rami Sass ,进一步了解这款新工具。

InfoQ:这项服务之前是怎么收费的?

Sass:Vulnerability Checker 是 WhiteSource 推出的一项全新服务。

InfoQ:WhiteSource 在选择 50 大漏洞时是如何排定漏洞优先级的?

Sass:我们基于 CVSS 分值(漏洞严重性)以及开源社区提供 / 建议的修复方法来排定所有开源漏洞的优先级。50 大开源漏洞的选择是研究团队基于它们对我们来自各种领域、规模大小不一的 500 多个客户的影响。我们计算每个漏洞出现的次数,并根据现在变得易受攻击的项目数量来评级。

InfoQ:这里说的“实时”是什么意思?

Sass:应用程序会在几分钟内向用户提供他们的产品中包含什么漏洞的信息。该信息会根据 7 月 1 号到 7 月 31 号之间报告的所有漏洞保持最新,并且包含此次发布之前(8 月 8 日)所有可用的补丁。今后,该信息将会每月更新,根据上个日历月的 50 大漏洞,为用户提供最准确的漏洞信息。

InfoQ:WhiteSource 提供开源漏洞扫描之外的服务吗?

Sass:是的,我们帮助开发团队保护和管理他们软件中的开源组件。除了开源漏洞检测和修复外,WhiteSource 还会自动化开源组件选择、审批、跟踪的全过程,并自动化开源合规性的全过程。

InfoQ:WhiteSource 集成了什么源代码控制工具或 CI 工具或 DevOps 工具链的其他部分吗?

Sass:完整的 WhiteSource 解决方案,不是这个免费工具,集成了软件开发生命周期(SDLC)中的所有开发工具,包括库、构建工具、包管理器、CI 服务器,甚至问题跟踪系统。我们提供插件,集成所有常见的开发工具,每次你执行构建或进行提交,我们的插件会计算一个数字签名,然后和我们的数据库相参照,检测所有的开源组件,包括所有的依赖。一旦检测到这个组件,我们就会获取所有关于安全、质量和许可的信息。

InfoQ:发出的警报什么样?有关问题的性质及修复步骤,该工具向用户提供了多少细节?

Sass:在扫描完用户请求扫描的库之后,Vulnerability Checker 会显示在软件及其路径中检测到的所有漏洞,说明哪个库包含哪个漏洞。我们还会显示 CVSS 3.0 分值,提供参考链接,甚至是根据开源社区提供修复建议。在完整的 WhiteSource 平台中,我们会提供进一步的信息,说明你是否实际调用了存在漏洞的功能,并提供完整的堆栈分析,从而为用户提供见解,使他们可以更快地修复所有已知的漏洞(而不只是上个月的 50 大漏洞)。WhiteSource 会自动化从选择过程到审批过程再到实时查找和修复漏洞的整个开源组件管理过程。这是一项 SaaS 服务,根据做出贡献的开发者,即从事相关应用程序开发的开发人员数量,按年收费。对于开源项目,我们免费提供整个平台的服务。

InfoQ:该工具的典型用户是谁?

Sass:这款免费工具是为开发人员、DevOps 团队及安全专家而设计的,但是,任何人,如果希望检查他们的代码库是否包含上个月的 50 大漏洞中的一个,就可以使用这个工具。

InfoQ:您能给我们介绍下 WhiteSource 研究团队的更多信息吗?

Sass:WhiteSource 团队十分信任开源社区。我们相信,社区在保护和管理开源项目方面做了了不起的工作,尤其是过去的两年中,人们对于开源安全的意识在提升,2017 年,通用漏洞披露中的漏洞数量超过了两倍就是证明。这个问题源于开源安全信息分散在许多数据库中,而大部分又没有恰当的索引,使得用户无法获取这些信息。这就是我们的研究团队重点关注的地方。我们的研究团队包含来自以色列和波士顿的 18 名研究人员和数据分析师。团队的工作重点是查找新的开源安全信息源,为这些信息源建立索引,充实这些数据并验证。我们开发了专有算法,用于聚合信息并自动评分,但是,为了兑现我们向客户做出的零错误承诺,每个漏洞的验证是由我们的研究团队手动进行的。

感兴趣的读者可以从这里下载WhiteSource Vulnerability Checker。

查看英文原文: WhiteSource Launches Free Open Source Vulnerability Checking

2018 年 8 月 14 日 06:111177
用户头像

发布了 1008 篇内容, 共 313.8 次阅读, 收获喜欢 282 次。

关注

评论

发布
暂无评论
发现更多内容

寻找被遗忘的勇气(二十二)

Changing Lin

3月日更

工作5年的阿里Java程序员,分享从业心得总结与面试笔记分享

周老师

Java 编程 程序员 架构 面试

前置机器学习(一):数学符号及希腊字母

caiyongji

机器学习

一文看懂特权访问管理(PAM)

龙归科技

云计算 云存储

波卡生态DeFi系统开发方案

薇電13242772558

区块链 defi

2.4 Go语言从入门到精通:条件和循环

xcbeyond

golang Go语言从入门到精通 3月日更

如何巧妙的去除数组中的空格?

程序媛观澜

c++ 字符串

爬虫入门经典(十五) | 邪恶想法之爬取百度妹子图

不温卜火

python 爬虫

爬虫入门经典(十八) | 滑动验证码识别

不温卜火

python 爬虫

爬虫入门经典(十二) | 一文带你快速爬取豆瓣电影

不温卜火

python 爬虫

新思科技BlackDuck帮助Avira软件公司在保持DevOps速度的同时提升开源安全

InfoQ_434670063458

首席AI架构师进阶之旅开启!第4期60位AICA学员硬核开学

百度大脑

百度飞桨 AI架构师

想当程序员,如何判断自己是否适合当前端程序员?

孙叫兽

程序员 前端

Three.Js杂记(一)——起步

空城机

前端 WebGL 3D可视化 three.js

助力香港成为全球寿命最长的城市,我们如何看医管局的数字化转型?

郁敏

数字化转型 人才培养

Three.js杂记(三)—— 物体运动

空城机

JavaScript 前端 WebGL 3D可视化 three.js

python 爬虫之selenium可视化爬虫

诡途

Python 爬虫 selenium

数据分析实战项目-蛋壳公寓投诉分析

诡途

Python 数据分析 蛋壳公寓

爬虫入门经典(四) | 如何爬取豆瓣电影Top250

不温卜火

python 爬虫

Git教程 - Git 命令与操作

信码由缰

git DevOps

飞桨中国行首站重庆 解读产业 智造

百度大脑

百度 飞桨 中关村智酷

Three.js杂记(二)——绘制点、线、面

空城机

JavaScript 前端 WebGL 3D可视化 three.js

它终于来了!

Python测试开发

Python

LeetCode题解:198. 打家劫舍,动态规划(不缓存偷盗状态),JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

飞桨刷新分子性质预测榜单,助力AI药物研发

百度大脑

AI 药物研发 百度飞桨

初来乍到,请多关照

空城机

杂记

手把手教学基于深度学习的遥感影像倾斜框算法训练与分析

cv君

人工智能 深度学习 AI 智能 视觉

【实战问题】-- 缓存穿透,缓存击穿和缓存雪崩的区别以及解决方案

秦怀杂货店

Java redis 缓存 架构 分布式

大前端工程师进阶之路,Node全栈为前端带来更多可能

孙叫兽

前端 全栈 Node

2021年ONNX开发者大会即将召开

百度大脑

百度飞桨 ONNX

爬虫入门经典(七) | 一文带你爬取淘宝电场

不温卜火

python 爬虫

DNSPod与开源应用专场

DNSPod与开源应用专场

WhiteSource推出免费开源的漏洞检查工具-InfoQ