EndorLabs简介
Endor Labs成立于2021年,是一家专注供应链安全办理的美国公司,并于去年十月取得了2500万美元种子轮出资。在开源软件大行其道、软件供应链安全事情频发的布景下,Endor Labs依据SCA发展出了独具一格的“依靠生命周期办理”处理计划,其合作伙伴与商业客户中不乏Microsoft、Google、Uber、Zoom、Atlassian等知名企业。
依靠生命周期办理
传统SCA东西的中心功用是对代码中引进的开源组件及它们的依靠联络进行盘点,构成SBOM清单,并在此基础上掌握代码中一切由开源组件依靠带来的缝隙危险。
在研制运营的整个周期中,有了这份透明化的财物清单,研制阶段能够及时替换安全版本的组件或修正缝隙,运营阶段新的缝隙爆发或呈现新的运用方式时能够按图索骥,快速定位缝隙方位及影响规模,帮忙拟定更高效合理的修正计划。
但是,作为一种相对简单且简单落地的安全东西,SCA东西也有其限制性。首先,SCA仅能依据已有的常识库进行危险整理,也即只能检测已知开源缝隙;其次,SCA依据规范的缝隙库供给的缝隙危险等级并不能彻底适配代码实践运转的场景,所以会导致部分并不会实践被触发的危险呈现在SCA东西输出的缝隙危险中,需求人工加以判别。
为了处理上述已知场景的限制和“噪音”带来的额外成本,Endor labs以依靠联络为中心,树立起了一整套依靠生命周期办理体系。
第一阶段,在依靠引进前,能够在Endor Labs的常识库里查询由组件的质量、受欢迎程度、最佳时间运用、支撑性和其他指标组成的全体危险评分,归纳判断是否引进该组件。
依靠引进后,Endor Labs的东西会整理代码中包括的一切的依靠情况并输出可视化的SBOM清单,一起会统计单个依靠被引进的次数,记载组织中最常用的依靠版本,便于削减依靠项的总量、操控依靠面。
对一切引进的依靠履行缝隙检测后,东西会对这些依靠进行可达性剖析,即剖析该依靠是否会在程序运转中被实践调用,并由此代替缝隙严重性的指标,产生对应缝隙修正的优先级主张,降低开源缝隙的“噪音”。
最终,考虑到随着软件项目推动越来越胀大的依靠清单,关于长时间未运用及冗余的依靠项,东西还能够供给删除主张,精简依靠财物、避免依靠胀大。
关于安全团队,Endor Labs的处理计划能够帮忙团队树立起对依靠联络的全面了解,一起消除很多“噪音”,降低鉴别成本,一起支撑对本身和第三方的SBOM办理;关于开发团队,能够帮忙做出更好的依靠引进挑选,一起取得更合理的缝隙修正优先级,从而完成安全的无痛嵌入。
另外,Endor Labs的产品还接入了ChatGPT,支撑以对话形式供给相应的开源组件引进主张(含危险评分),以便帮助用户挑选更优的开源软件。现在该功用尚在内测阶段。
更进一步:不知道缝隙防护
Endor Labs的计划对“噪音”的处理计划确实有独到之处,但对SCA东西只能处理已知缝隙这个天花板的拓展仍然相对有限:在引进前经过对常识库中一切组件进行多维危险评分帮忙引进决议计划本质上仍然是对已知资源的再整合,于效率或许也并无益处。
在SBOM的基础上,处理上线后运营阶段的安全问题、完成安全研制和运营的闭环,不能仅仅限制于单个的SCA东西,而需求与其他更适配持续运营场景的东西结合,构成全体联动的处理计划。
首先,运用SCA输出SBOM是必不可少的。“噪音”的操控手段多种多样,可达性剖析、运转态SCA、是非名单办理都是可选的计划。
下一步,需求多渠道收集开源缝隙情报,实时监控使用代码的开源危险,并依据SBOM进行危险自查,结合业务环境评估修正优先级,依据使用版本计划自行安排修正节奏。
此外,持续安全运营的完成离不开RASP(运转时程序自我维护)技术。RASP能结合使用的逻辑及上下文,以函数级的精度对拜访使用系统的每一段代码进行检测,实时监控安全状况、记载及阻断攻击,而无需人工干预。
关于尚无新版本组件可替换或不方便晋级组件的开源缝隙以及突然爆发的0day缝隙,RASP能够经过下发热补丁的方式,在不修正源码的情况下对攻击和歹意恳求进行辨认和阻断,完成对不知道安全危险的及时治理,为审慎的缝隙修正争夺宝贵时间。
OpenSCA+云鲨RASP SaaS为个人及企业用户供给0成本使用安全维护计划,帮忙搭建使用安全研运闭环,将活跃防护才能注入使用中,完成使用安全自免疫;一起供给商业版,供给更完整的场景适配才能,欢迎联络我们。
GitHub:
github.com/XmirrorSecu…
Gitee:
gitee.com/XmirrorSecu…
OpenSCA官网:
opensca.xmirror.cn/
