Open Source Analysis开源分析 掌控您的开源代码: 安全漏洞及其对您的组织可能产生的破坏性影响不仅会影响内部代码,而且还涉及开源组件和开源库。 Checkmarx 开源分析(CxOSA)是一个开源代码分析解决方案,它是对我们 CxSAST 解决方案的扩展,可作为 CI/CD 工具链 的一部分,检测、汇总和管理开源组件。
CxOSA 使组织能够管理、控制和防止用作软件开发过程一部分的开源组件所带来的安全风险和法律问题。开源是免费的,可以缩短产
品上市时间,并且拥有一个庞大的开发社区对其进行测试和改进。但是,与任何其他代码一样,开源代码也存在安全漏洞和错误,可能使您
的组织面临安全风险。因此,必须采取安全措施持续监测和管理开源组件的使用,确保您可以在开发生命周期的早期修复问题。 独特的解决方案优势:
可从标准 Web 浏览器或直接在构建环境(例如 Jenkins、Maven、TeamCity、Bamboo、MS-VSTS)中 启动测试,并可作为 CI/CD 工具链的一部分自动运行开源分析 扫描。结果进行汇总并生成报告,以统一的项目视图显示在网页界 面或构建管理器界面中。 管理安全漏洞 检测易受攻击和过时的开源库,帮助您确定应用程序安全隐患的优 先级并加以管理和维护。利用 CxOSA 跟踪数以千计的公共漏洞 和暴露(CVE)、安全通告和错误跟踪器,便于您掌握最新动态并 获得需要采取的补救建议,确保您的应用程序保持安全。此外,开 发人员还可以设置策略以抑制漏洞库并遵守组织的策略。 漏洞管理 CxOSA 与 CxSAST 保持统一,使开发人员能够以相同的方式 管理内部和开源代码漏洞。由于两种扫描可以一起启动,因此可以同 时管理内部和开源漏洞。 策略管理 根据开源许可证类型、安全漏洞严重性、软件错误严重性 以及库龄等条件定义您的接受、拒绝和内部审批流程方 案,以设置自动处理策略。一旦有开发人员尝试添加您的 策略视为不可接受的开源组件,您将收到提醒。 优化开源选择 使用浏览器插件可以轻松选择开源组件。开发人员可以 在线浏览开源组件,并从安全性、质量和许可证符合性角 度验证其是否合适——甚至在他们选择开始使用之前。 支持语言和准确性 CxOSA 使用成熟完善的漏洞数据库,支持所有流行的开源编程和 脚本语言。WhiteSource 专有算法可最大限度地减少误报,从而 加快补救速度,降低成本。 法律遵从 违反开源许可证要求也可能导致法律和业务风险。CxOSA 帮助 确保您使用开源组件的方式不会使您自己的知识产权面临风险或 影响您组织的发展。
|
