Tutoriales

Abordar las vulnerabilidades de seguridad en SBOM

bomber es una aplicación que escanea SBOM en busca de vulnerabilidades de seguridad. Entonces, le pide a su proveedor la lista de materiales de software (SBOM) para uno de sus productos de código cerrado y le proporciona una en forma de archivo JSON… ¿y ahora qué?

Lo primero que debes hacer es verificar si alguno de los componentes enumerados en el SBOM tiene vulnerabilidades de seguridad y qué tipo de autorización tiene.

Esto le ayudará a determinar qué riesgos corre al utilizar este producto.

Busque vulnerabilidades de seguridad e información de licencia para los componentes identificados en SBOM bomber es por hacer.

bomber Puede leer cualquier contenido basado en JSON o XML Ciclón DX formato o JSON SPDX o seft Formatee el SBOM y le indicará rápidamente si hay algún agujero.

Tabla de contenido

  • Código abierto y cerrado
  • Objetivo
  • Formatos SBOM soportados
  • proveedor
    • Soporte del proveedor
    • Documentación del proveedor
  • Instalar
  • Usa bombarderos
    • Escaneo SBOM único
    • Escanear toda la carpeta
  • Formato de salida
    • salida HTML
    • salida JSON
    • producción de reducción de precios
  • ignorar las vulnerabilidades
  • salida del filtro
  • Rico en datos
    • Sistema predictivo de puntuación de exploits (EPSS)
  • cosas avanzadas
    • Escanear SBOM desde STDIN
    • variables ambientales
  • Funciones experimentales
    • Código de retorno de gravedad máxima (experimental)
    • Salida de informe HTML enriquecido con OpenAI AI
  • Disparates
  • notas
  • contribuir
  • Lista de materiales del software
  • Patrocinador
  • personal de producción

Código abierto y cerrado

El software puede ser de código abierto o de código cerrado. Puede ver los componentes de terceros que se encuentran en Github o en cualquier repositorio de código abierto.

Técnicamente, el software que creas dentro de tu empresa también es de código abierto: no es público, pero tu equipo interno puede verlo.

El software de código cerrado también puede ser interno, pero generalmente es software que se compra a un proveedor externo.

Las empresas pueden utilizar herramientas SCA de proveedores como Github, Sonatype, Snyk y otros para escanear cualquier tipo de código abierto y proporcionar datos de vulnerabilidad e incluso generar SBOM en algunos casos. Lo que no pueden hacer (todavía…) es buscar software de código cerrado que no puedas ver.

Esto es lo que SBOM y bomber jugar un papel. SBOM proporciona un paquete de software al que usted no tiene acceso y bomber Determine si algo en el SBOM es vulnerable.

Objetivo

nosotros creamos bomber Escanee los SBOM de código cerrado proporcionados cuando los reciba del proveedor. También puede escanear SBOM de código abierto y, técnicamente, puede utilizar bomber Puede convertirla en una herramienta SCA de código abierto si lo prefiere.

Formatos SBOM soportados

Actualmente hay varios formatos SBOM disponibles. bomber Soporta lo siguiente:

proveedor

bomber Admite múltiples fuentes de información sobre vulnerabilidades. los llamamos proveedor. Ahora, bomber Utilice OSV como por defecto proveedor, pero también puede utilizar Github Advisory Database, Sonatype OSS Index o Corte.

Actualmente, tenga en cuenta que OSV es gratuito y no requiere ninguna credencial para su uso. Índice Sonatype OSS es gratis pero requiere que usted se registre y obtenga un token, y Corte El soporte requiere licencia Snyk.

excepto datos bomber Si bien se recopilan de los proveedores, también enriquecen los datos de vulnerabilidad con información adicional, como la probabilidad de explotación.

Soporte del proveedor

Tenga en cuenta que cada proveedor admite un ecosistema diferente, por lo que si no encuentra ninguna vulnerabilidad en uno de ellos, pruebe con otro. Los ecosistemas son administradores de paquetes o tipos de paquetes.

Por ejemplo rpm, npm, gemas, etc. En caso de duda, consulte algunos de estos.

si bomber El hecho de que no se encuentren vulnerabilidades no significa que no las haya. Esto significa que el proveedor utilizado no detectó nada o no es compatible con el ecosistema.

Algunos proveedores tienen vulnerabilidades que se devuelven sin información de gravedad. En este caso, la gravedad aparecerá como «Indefinida».

Documentación del proveedor

Documentación del proveedor bomber Se puede encontrar en:

Corte

OSV

Repositorio de consultas de GitHub

índice de oisin

Para obtener más información, haga clic aquí.

LEER  Uso de las opciones de profundidad máxima y profundidad mínima en el comando de búsqueda de Linux

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba