2024-06-08 13:39:07 发布
网友
我有一个工具,它使用大约50+开源软件,如果这些开源软件中的任何一个被利用,并提出了一个新的漏洞,我需要立即通知我,我应该修补相应的软件
那么,有什么办法吗
我搜索了一些东西,比如CVE报告,开源威胁情报平台,但是我没有找到方法
很好,很好的问题!很多人都没有意识到这个问题,当你思考这个问题的含义时,它是巨大的,就像你所看到的那样
事实上,这样做是相当困难的。在一些工具中,例如Node Package Manager(NPM),您可以使用npm audit检查安全数据库。然后,这将生成存储库列表中漏洞的报告(其中大多数通常是开源的),并解释其漏洞状态
npm audit
然而,解决这个问题的一个很好的工具叫做Synk。过来看。这基本上是npm对类固醇的审计,有很好的客户支持(我不为他们工作,所以不想在这里销售)
怎么办
您可以将npm audit或Snyk集成到您的管道中(如果您有此设置,最好是在CI中)。然后在每次部署时,您可以确保至少检查了存储库的漏洞
很好,很好的问题!很多人都没有意识到这个问题,当你思考这个问题的含义时,它是巨大的,就像你所看到的那样
事实上,这样做是相当困难的。在一些工具中,例如Node Package Manager(NPM),您可以使用
npm audit
检查安全数据库。然后,这将生成存储库列表中漏洞的报告(其中大多数通常是开源的),并解释其漏洞状态然而,解决这个问题的一个很好的工具叫做Synk。过来看。这基本上是npm对类固醇的审计,有很好的客户支持(我不为他们工作,所以不想在这里销售)
怎么办
您可以将
npm audit
或Snyk集成到您的管道中(如果您有此设置,最好是在CI中)。然后在每次部署时,您可以确保至少检查了存储库的漏洞相关问题 更多 >
编程相关推荐