Supply Chain Software MetaDefender ממשיכה לשפר את הניסיון והיעילות של צוותי AppSec ו-DevSecOps באבטחת יישומים מפני מתקפות שרשרת אספקה. בגרסה 2.5.0 זו, אנו מציגים קבוצה של תכונות המתמקדות בניהול פגיעויות פשוט וסטנדרטיזציה של SBOM. יכולות חדשות אלו מקלות על ניהול אבטחה על פני מכולות, קבצים בינאריים וקוד מקור - במהירות ובקנה מידה גדול.
ממשק משתמש משופר לדיווח מאגרים וחבילות
מיטוב ניהול פגיעויות ומיון בעיות מהר יותר ברמת המאגר והחבילה.
חיפוש CVE
זהה רכיבים המושפעים מפגיעויות ידועות.
סריקות מבוססות Webhook עבור קבצים בינאריים של GitLab ו-JFrog
סריקות מבוססות Webhook עבור קבצים בינאריים של GitLab ו-JFrog
תיקונים מורחבים ב-JFrog Artifactory
טפלו בפגיעויות מהר יותר וצמצמו את החשיפה לסיכונים על ידי העתקה, העברה ומחיקה של ארטיפקטים בינאריים.
ייצוא SBOM של CycloneDX
הפקת דוחות לצורך תאימות וסטנדרטיזציה.
דיווח מאגרים וחבילות: אופטימיזציה Vulnerability Management
הממשק המשודרג שלנו מאפשר צפייה וניתוח גמישים של נתוני איומים במאגרים ובחבילות בפרויקטים שלך.
לשונית הדוחות מציעה כעת שני מצבי תצוגה נפרדים (ברמת המאגר וברמת החבילה) כדי לתמוך הן בנראות ברמה גבוהה והן בתובנות מפורטות ברמת הרכיב. Software צוותי פיתוח יכולים לקבל תובנות לגבי כל החבילות שהתגלו במאגר, ולהתעמק בקלות בחבילה מסוימת לחקירה נוספת.
תצוגה ברמת המאגר
תצוגה זו מספקת סיכום של מאגרים סרוקים, כולל:
- זוהו פגיעויות, תוכנות זדוניות וסודות
- סך כל חבילות לעומת ספירת חבילות פגיעות
- סטטוס סיכון רישיון
לחיצה על כל מאגר מאפשרת לך לצפות ב-SBOM מפורט ובתוצאות סריקה.
תצוגה ברמת החבילה
תצוגה זו מתמקדת בחבילות התוכנה בהן נעשה שימוש בפרויקטים שלך, המציגות:
- שמות חבילות
- מאגרים משויכים המכילים פגיעויות
- סטטוס פגיעות
- סיווג סיכוני רישיון
- רמות חומרת הסיכון
אפשרויות סינון
ניתן גם לסנן את תוצאות הסריקה לפי:
- חומרת סיכון אבטחה (קריטי, גבוה, בינוני, נמוך, לא ידוע)
- סטטוס רישיון (מותר, חסום)
- חיבורים פעילים (מאגר, Container , בינארי)
נקודות מבט כפולות אלו תומכות בתפקידים וזרימות עבודה שונות בין צוותי AppSec, DevSecOps והנדסה, כדי לאפשר קביעת סדרי עדיפויות סיכונים מעשיים יותר ושיתוף פעולה הדוק יותר בתחום האבטחה וההנדסה.
חיפוש CVE: זיהוי מיידי של פגיעויות ידועות
כאשר נחשף CVE חדש, צוותים יכולים לחפש אותו ישירות כדי לקבוע אם רכיב כלשהו בסביבתם מושפע, כך שיוכלו להגיב לאיומים אלה בעיכוב מינימלי. תכונה זו, המגובה על ידי מסד נתונים של פגיעויות המתעדכן באופן שוטף, מאפשרת מיון ממוקד מבלי לקשר ידנית הפניות CVE לחבילות ספציפיות או ארטיפקטים של בנייה.
עבור צוותים המנהלים פרויקטים גדולים ומורכבים עם מאות רכיבים סרוקים, עדכון זה עשוי לשפר את תהליכי העבודה של תגובה לאירועים ואת תהליכי גילוי הפגיעויות.
תיקונים משופרים עבור קבצי בינארי של JFrog
בגרסה 2.5.0, MetaDefender Software Supply Chain ממשיכה להעמיק את האינטגרציה שלנו עם JFrog Artifactory עם יכולות תיקון משופרות:
תיקון העתקה
העבר בצורה בטוחה חבילות בינאריות מאומתות בין מאגרי חפצים, או בידוד חבילות חשודות למאגר הסגר.
תיקון מחיקה קשיחה
הגדירו כללים להסרה לצמיתות של קבצים בינאריים שנפגעו, תוך שמירה על ניקיון המאגרים שלכם ומזעור חשיפה לסיכונים הקשורים לארטיפקטים.
כדי לשים זאת בהקשר, בעת ניהול ארטיפקטים בצינור CI/CD , ניתן לסרוק ארטיפקטים המאוחסנים בתחילה במאגר staging "לא מאומת" על ידי MetaDefender Software Supply Chain והועבר למאגר "מאובטח" לאחר האימות. זה עוזר להבטיח שהממצאים בטוחים ותואמים לפני הפריסה. על ידי אוטומציה של תהליך זה, צוותים יכולים לבטל שלבים ידניים תוך שמירה על היגיינת הממצאים, עקיבות וגישה מבוקרת לאורך כל הצינור.
כמנהל מאגרים בינאריים נפוץ, JFrog Artifactory ממלא תפקיד מרכזי בצינורות CI/CD רבים - אחסון פלטי בנייה, אירוח תלויות של צד שלישי וניהול ארטיפקטים של שחרור. עבור צוותי DevSecOps, הבטחה שרק קבצים בינאריים מאומתים ותואמים למדיניות מקודמים לשלבים במורד הזרם מסייעת לתמוך במדיניות ניהול ארטיפקטים, מחזקת את מקור הבנייה ומפחיתה את הסיכון לאיומי שרשרת אספקה ברמת הארטיפקטים.
אוטומציה של בדיקות אבטחה עם Webhooks עבור GitLab ו-JFrog Artifactory
MetaDefender Software Supply Chain כעת תומך בטריגרים מבוססי webhook כדי להפוך סריקות אבטחה לאוטומטיות בתגובה לאירועי פיתוח מרכזיים. זה מאפשר להתחיל סריקות אבטחה באופן אוטומטי כאשר מתרחשים אירועים ספציפיים ב- JFrog Artifactory או ב-GitLab .
- הפעל סריקה מיד לאחר בקשת קוד או בקשת משיכה.
- סרוק את קוד המקור בעת דחיפה או מיזוג לענפים הראשיים.
תכונות עיקריות
- כתובות URL ספציפיות לזרימת עבודה: צור כתובת URL ייחודית של webhook עבור כל מאגר מחובר, המאפשרת הגדרה קלה ב-GitLab או ב-JFrog Artifactory.
- טריגרים מבוססי אירועים: התחל סריקות באופן אוטומטי לאחר אירועי דחיפה או יצירת בקשת משיכה כדי להבטיח אימות רציף לאורך כל מחזור הפיתוח.
- ניהול מלאי מרכזי: ניהול ומעקב אחר webhooks פעילים ישירות ממסך המלאי של הסורק לצורך שליטה ונראות.
יתרונות
- שלב אימות מתמשך של רכיבים חדשים בזרימות עבודה של CI/CD.
- נראות בזמן אמת של סיכונים – רכיבים חדשים או מעודכנים מוערכים ברגע שהם מוצגים או משתנים בפרויקט.
- מפחית מאמץ ידני ותקורות תפעוליות.
- אבטחת SDLC ניתנת להרחבה לפריסת תוכנה מהירה.
אוֹדוֹת MetaDefender Software Supply Chain
MetaDefender Software Supply Chain משפר את צבר ה-DevSecOps שלך על ידי סריקת כל ספריית תוכנה, כולל רכיבי צד שלישי בקוד פתוח, כדי לזהות איומי אבטחה ופגיעויות. בעזרת טכנולוגיות הזיהוי והמניעה שלנו, ספריית ה-SDLC שלך מוגנת מפני תוכנות זדוניות ופגיעויות כדי לחזק את אבטחת היישומים ואת עמידה בתקנות.
ייצוא SBOM לפורמט CycloneDX
כדי לעמוד בדרישות התאימות ולאפשר שילוב של המערכת האקולוגית, צוותי פיתוח ואבטחה יכולים לייצא SBOMs (רשימת חומרים של Software ) בפורמט CycloneDX.
זה תומך במאמצים ל:
- פישוט יצירת SBOM בפורמטים סטנדרטיים.
- לאפשר הגשת SBOMs לרגולטורים או לבעלי עניין חיצוניים.
- ודא תאימות בין כלים, מערכות אקולוגיות ושותפים בשרשרת האספקה.
- לעמוד בתקני אבטחה מתפתחים של שרשרת אספקה של תוכנה ללא תקורה נוספת.
עוד בהמשך
אנחנו ממשיכים להתרחב MetaDefender Software Supply Chain היכולות של לספק לצוותי אבטחה ו-DevSecOps את האוטומציה, הנראות והשליטה הדרושות להם כדי לשלוח תוכנה מאובטחת בקנה מידה גדול. לקבלת סיור מותאם אישית של התכונות החדשות הללו, פנו למומחי אבטחת הסייבר שלנו.
פרטי השחרור
- מוצר: Supply Chain Software MetaDefender
- תאריך יציאה: 16 באפריל 2025
- הערות גרסה: 2.5.0
- הורד מ OPSWAT שַׁעַר
למידע נוסף, דברו עם מומחי אבטחת הסייבר שלנו .
