Veracode Software Composition Analysis
如果您使用开源软件,替您减少使用开源工具产生的风险
了解您的开放源代码风险和暴露可以降低漏洞造成的破坏风险。高性能公司依靠Veracode的灵活SaaS平台来提供他们需要的见解,以方便地识别使用中的开源库、它们的漏洞、许可证和它们的应用程序的风险——通过更好的DEVSECOPS实践来保护它们的应用程序和客户的数据。Veracode软件组合分析(SCA)集成到您的管道中,用于自动扫描,并提醒您的票务系统(ticketing system)系统中的缺陷。
- 持续了解您的开源风险
- 使用本地开发过程和工具
- 利用Veracode方法扩展AppSec程序
- 找到更多的漏洞,甚至那些未公开的
- 了解您的应用程序如何使用开放源代码库
- 优先处理影响应用程序的漏洞并快速修复它们
用什么库?它们安全吗?
Veracode提供了对应用程序中使用的开源库的深入了解,包括版本、许可证和已存在的漏洞。
漏洞会影响我的代码吗?
对于最流行的语言,我们能够映射出您的应用程序,并判断该漏洞是否特别影响您的代码。
我能快速应对新的漏洞吗?
从CI集成到新漏洞的安全警报,Veracode帮助您保持在最前面并领先于漏洞。
如何衡量我使用开源的风险?
我们拥有多年在各种开发环境中扩展AppSec程序的经验,以及专业技术分析。
我们不仅找到更多的漏洞,还能发现未公开的
使用开源的趋势正呈指数级增长,目前已有超过500万个开源库。随着代码每天都在进行更改,世界各地的组织都面临着与这些库中的漏洞保持同步的艰巨挑战。许多开源贡献者在没有向NVD注册的情况下修复漏洞,这使得修复漏洞变得更加困难。Veracode对开源项目存储库进行爬网以识别这些静悄悄修复的漏洞。以及使用机器学习模型提取漏洞信息,以快地检测/发掘开放源代码库中的漏洞。
我们的专有数据库包含:
- 国家漏洞数据库(NVD)中的所有开放源代码漏洞。
- 通过挖掘流行的存储库和其他来源发现开源库中的未公开漏洞。
持续对您使用的开源库进行风险分析
随着现代应用程序开发过程和频繁的发布,您的代码和风险状况不断变化。
现在,您可以确保当前正在生产中的应用程序保持受保护,即使您没有主动扫描它们。
- Continuous Monitoring(持续监视):获取有关代码中新漏洞的警报,即使没有重新进行扫描
- Centralized Policy Management and Reporting (集中的策略管理和报告): 查看所有扫描结果、管理用户、应用策略要求并做出数据驱动的决策,以便在集中的平台中主动管理风险
优先处理影响应用程序的漏洞,并快速修复它们
在应用程序安全方面,找到漏洞只是挑战的一半。
Veracode SCA还提供了自动化的规定性修复信息,使组织能够提高修复率,快速降低风险。
- Vulnerable Methods(易受攻击的方法):确定易受攻击的代码是否可被攻击者利用,使您不仅可以根据严重性而且还可以根据可利用性确定修复的优先顺序。
- Automated generation of pull requests(自动生成拉取请求) :通过批准自动代码去更改,更快地修正。
了解您的应用程序,该如何使用开放源代码库
现在市面上的许多解决方案只关注您的专有代码直接使用的库。但是,这些库的依赖项也可能包含它们自己的漏洞,这将使您面临同样多的风险。
- Vulnerabilities in transitive dependencies(可传递依赖项中的漏洞): 不仅在直接依赖项中检测漏洞,而且在其依赖项中检测漏洞-多级深入
- Stack traces & call graphs(堆栈跟踪和调用图):我们映射您的代码,这样您就可以看到所有的库,它们是如何被拉进来的,以及调用链到易受攻击代码的完整堆栈跟踪。
- Container Security (容器安全):我们扫描Docker容器和容器映像,以查找Linux发行版和基本库中与开源库相关的漏洞
- 广泛的语言/框架支持:
我们支持Java、JavaScript、Python、Ruby、PHP、NoDE.js、Go、Object C、.NET、C/C++、SWIFT和Scala。 - 管理法律风险:识别源代码使用的开放源代码许可证,这些许可证可能会给您的业务带来法律风险。
可兼容使用本地开发过程和工具
我们的代理直接部署在您的管道中,因此您可以直接在CI系统中测试安全漏洞。
- CI integration(CI集成):我们与所有流行的CI集成并构建系统:Jenkins、GitLab、Travis、Circle、Gradle、Maven等。
- Workflow management(工作流管理): 在票务系统中自动跟踪安全缺陷,以便作为sprint的一部分跟踪安全修复。
- 与Veracode 静态分析结合: 则以使用现有的进程来扫描源代码漏洞,减少需要设置和维护的集成数。
利用Veracode的方案,使您的资安团队更有效率
许多资安应用程序失败是因为公司购买了工具,但他们没有专业知识来管理程序和服务开发人员的需求。Veracode SCA是Veracode平台的一部分,它将所有主要的应用程序安全方法组合在一起,这样您就可以更简单地管理整个应用程序环境中的风险。
- 第一天扫描 :由于我们基于SaaS的方法,没有要安装或管理的硬件
- 扩展您的团队: Veracode拥有超过40万小时的项目管理经验和安全专业知识
- 统一结果:在一个集中视图中查看整个应用程序环境和所有测试类型(包括SCA、SAST、DAST和MPT)中的应用程序状态
