開源DevOps服務供應商Sonatype發表DepShield,這是一個針對GitHub的應用程式,能自動識別開源相依專案程式碼中的漏洞,提醒開發人員需要修補的部分,提高企業對於開源治理的能力。

Sonatype提到,根據他們針對DevSecOps社群的調查,2018年被懷疑或是證實洩漏企業,其中有三分之一來自開源軟體的漏洞,而這個數字從2017年以來增長了55%。Sonatype釋出的DepShield,則能幫助企業在其DevOps工作管線中,自動化提升應用程式安全性,以維持開源程式碼與專案的安全性。

DepShield使用了Sonatype自家開源軟體索引,將已知的開源資料直接整合進GitHub私人或是公開程式碼儲存庫中,讓開發人員可以立即識別,並且加以修補。DepShield會持續監控專案,並且自動產生安全漏洞訊息,開發人員能夠查看GitHub問題追蹤器已知安全性問題,並透過點擊相關訊息,檢視CVE和CVSS的詳細資訊。另外,也能根據漏洞訊息,確定受影響的專案版本與範圍。

DepShield現在免費釋出,企業可用於私人與公開的GitHub儲存庫,並且可以與軟體專案管理及自動構建工具Apache Maven合用,目前支援JavaScript,而Python還要再等等。 

 


Advertisement

更多 iThome相關內容