目录
为什么需要组件卡点
现代的软件开发或多或少的都会引入第三方的开源组件,如何保证这些开源组件是安全性的?
解决方案
大致步骤
- 根据企业的DevOps流程,等业务线做构建时,自动在CI/CD平台做代码审查,进行开源组件卡点工作;
- 获取项目内的所有开源组件名字、版本等信息;
- 同步漏洞库信息进行本地查询、或者远程请求漏洞库;
- 将开源组件版本号对比对应的漏洞;
获取漏洞库的一些思路:
- 商业的漏洞库
- NVD (https://nvd.nist.gov/)
- maven 仓库中也包含有每个版本的漏洞信息(不过有限制,需要绕过)