DepShield可自動化監控相關開源專案程式碼漏洞

開源DevOps服務供應商Sonatype發表DepShield，這是一個針對GitHub的應用程式，能自動識別開源相依專案程式碼中的漏洞，提醒開發人員需要修補的部分，提高企業對於開源治理的能力。

Sonatype提到，根據他們針對DevSecOps社群的調查，2018年被懷疑或是證實洩漏企業，其中有三分之一來自開源軟體的漏洞，而這個數字從2017年以來增長了55％。Sonatype釋出的DepShield，則能幫助企業在其DevOps工作管線中，自動化提升應用程式安全性，以維持開源程式碼與專案的安全性。

DepShield使用了Sonatype自家開源軟體索引，將已知的開源資料直接整合進GitHub私人或是公開程式碼儲存庫中，讓開發人員可以立即識別，並且加以修補。DepShield會持續監控專案，並且自動產生安全漏洞訊息，開發人員能夠查看GitHub問題追蹤器已知安全性問題，並透過點擊相關訊息，檢視CVE和CVSS的詳細資訊。另外，也能根據漏洞訊息，確定受影響的專案版本與範圍。

DepShield現在免費釋出，企業可用於私人與公開的GitHub儲存庫，並且可以與軟體專案管理及自動構建工具Apache Maven合用，目前支援JavaScript，而Python還要再等等。