MetaDefender Software Supply Chain AppSec ve DevSecOps ekiplerinin tedarik zinciri saldırılarına karşı uygulamaları güvence altına alma deneyimini ve verimliliğini artırmaya devam ediyor. Bu v2.5.0 sürümünde, basitleştirilmiş güvenlik açığı yönetimi ve SBOM standardizasyonuna odaklanan bir dizi özellik sunuyoruz. Bu yeni özellikler konteynerler, ikili dosyalar ve kaynak kodlarında güvenliği hızlı ve geniş ölçekte yönetmeyi kolaylaştırıyor.
Depo ve Paket Raporlama için Geliştirilmiş Kullanıcı Arayüzü
Güvenlik açığı yönetimini optimize edin ve sorunları depo ve paket düzeylerinde daha hızlı önceliklendirin.
CVE Arama
Bilinen güvenlik açıklarından etkilenen bileşenleri belirleyin.
GitLab ve JFrog İkilileri için Webhook Tabanlı Taramalar
GitLab ve JFrog İkilileri için Webhook Tabanlı Taramalar
JFrog Artifactory'de Genişletilmiş İyileştirmeler
İkili yapıları kopyalayarak, taşıyarak ve silerek güvenlik açıklarını daha hızlı giderin ve risk maruziyetini en aza indirin.
CycloneDX SBOM Dışa Aktarımı
Uyumluluk ve standardizasyon için rapor oluşturma.
Depo ve Paket Raporlama: Optimize Edilmiş Vulnerability Management
Geliştirilmiş arayüzümüz, projelerinizdeki depolarda ve paketlerde bulunan tehdit verilerinin esnek bir şekilde görüntülenmesini ve analiz edilmesini sağlar.
Raporlar sekmesi artık hem üst düzey görünürlüğü hem de ayrıntılı, bileşen düzeyinde içgörüleri desteklemek için iki farklı görüntüleme modu (Depo düzeyinde ve Paket düzeyinde) sunuyor. Software geliştirme ekipleri, depoda keşfedilen tüm paketler hakkında bilgi edinebilir ve daha fazla araştırma için belirli bir paketi kolayca inceleyebilir.
Depo Düzeyinde Görünüm
Bu görünüm, aşağıdakiler de dahil olmak üzere taranan depoların bir özetini sunar:
- Tespit edilen güvenlik açıkları, kötü amaçlı yazılımlar ve sırlar
- Toplam ve savunmasız paket sayıları
- Lisans risk durumu
Her bir depoya tıkladığınızda ayrıntılı bir SBOM ve tarama sonuçlarını görüntüleyebilirsiniz.
Paket Düzeyinde Görünüm
Bu görünüm, projelerinizde kullanılan ve görüntülenen yazılım paketlerine odaklanır:
- Paket isimleri
- Güvenlik açıklarını içeren ilişkili depolar
- Güvenlik açığı durumu
- Lisans risk sınıflandırması
- Risk önem dereceleri
Filtre Seçenekleri
Ayrıca tarama sonuçlarını filtreleyebilirsiniz:
- Güvenlik riski şiddeti (Kritik, Yüksek, Orta, Düşük, Bilinmiyor)
- Lisans durumu (İzin Verildi, Engellendi)
- Aktif bağlantılar (Depo, Container, İkili)
Bu ikili perspektifler AppSec, DevSecOps ve mühendislik ekipleri arasındaki farklı rolleri ve iş akışlarını destekleyerek daha eyleme geçirilebilir risk önceliklendirmesi ve güvenlik ile mühendislik arasında daha sıkı işbirliği sağlar.
CVE Arama: Bilinen Güvenlik Açıklarının Anında Tespiti
Yeni bir CVE ifşa edildiğinde, ekipler ortamlarındaki herhangi bir bileşenin etkilenip etkilenmediğini belirlemek için doğrudan arama yapabilir, böylece bu tehditlere minimum gecikmeyle yanıt verebilirler. Sürekli güncellenen bir güvenlik açığı veritabanıyla desteklenen bu özellik, CVE referanslarını belirli paketlerle veya yapı eserleriyle manuel olarak ilişkilendirmeden hedefe yönelik önceliklendirme yapılmasını sağlar.
Yüzlerce taranmış bileşene sahip büyük ve karmaşık projeleri yöneten ekipler için bu güncelleme, olay müdahale iş akışlarını ve güvenlik açığı ifşa süreçlerini geliştirebilir.
JFrog İkilileri için Geliştirilmiş İyileştirmeler
v2.5.0'da MetaDefender Software Supply Chain , JFrog Artifactory ile entegrasyonumuzu gelişmiş iyileştirme yetenekleriyle derinleştirmeye devam ediyor:
Kopya Düzeltme
Doğrulanmış ikili paketleri artifact depoları arasında güvenle aktarın veya şüpheli paketleri bir karantina deposuna izole edin.
Sabit Silme İyileştirmesi
Tehlike altındaki ikili dosyaları kalıcı olarak kaldırmak için kurallar tanımlayın, depolarınızı temiz tutun ve artifaktla ilgili risk maruziyetini en aza indirin.
Bunu bir bağlama oturtmak gerekirse, bir CI/CD ardışık düzeninde artifaktları yönetirken, başlangıçta "doğrulanmamış" bir hazırlama havuzunda depolanan artifaktlar MetaDefender Software Supply Chain tarafından taranabilir ve doğrulandıktan sonra "güvenli" bir havuza taşınabilir. Bu, eserlerin dağıtımdan önce güvenli ve uyumlu olmasını sağlamaya yardımcı olur. Ekipler bu süreci otomatikleştirerek manuel adımları ortadan kaldırabilir ve aynı zamanda artifakt hijyenini, izlenebilirliği ve boru hattı boyunca kontrollü erişimi koruyabilir.
Yaygın olarak kullanılan bir ikili depo yöneticisi olan JFrog Artifactory, derleme çıktılarını depolamak, üçüncü taraf bağımlılıklarını barındırmak ve sürüm eserlerini yönetmek gibi birçok CI/CD işlem hattında merkezi bir rol oynar. DevSecOps ekipleri için, yalnızca doğrulanmış, politikaya uygun ikili dosyaların aşağı akış aşamalarına yükseltilmesini sağlamak, artifact yönetişim politikalarını desteklemeye yardımcı olur, yapı kaynağını güçlendirir ve artifact düzeyinde tedarik zinciri tehditleri riskini azaltır.
GitLab ve JFrog Artifactory için Webhooks ile Güvenlik Kontrollerini Otomatikleştirin
MetaDefender Software Supply Chain , önemli geliştirme olaylarına yanıt olarak güvenlik taramalarını otomatikleştirmek için artık web kancası tabanlı tetikleyicileri destekliyor. Bu, JFrog Artifactory veya GitLab'de belirli olaylar meydana geldiğinde güvenlik taramalarının otomatik olarak başlatılmasını sağlar.
- Bir kod işleminden veya çekme isteğinden hemen sonra bir taramayı tetikleyin.
- Ana dallara itme veya birleştirme sırasında kaynak kodunu tarayın.
Temel Özellikler
- İş akışına özel URL'ler: Bağlı her depo için benzersiz bir web kancası URL'si oluşturarak GitLab veya JFrog Artifactory'de kolay yapılandırma sağlar.
- Olay tabanlı Tetikleyiciler: Geliştirme döngüsü boyunca sürekli doğrulama sağlamak için push olayları veya çekme talebi oluşturma üzerine taramaları otomatik olarak başlatın.
- Merkezi Envanter Yönetimi: Kontrol ve görünürlük için aktif web kancalarını doğrudan tarayıcının envanter ekranından yönetin ve izleyin.
Avantajlar
- Yeni bileşenlerin sürekli doğrulamasını CI/CD iş akışlarına entegre edin.
- Risklere gerçek zamanlı görünürlük - yeni veya güncellenmiş bileşenler projeye dahil edilir edilmez veya değiştirilir değiştirilmez değerlendirilir.
- Manuel çabayı ve operasyonel ek yükü azaltır.
- Hızlı hareket eden yazılım dağıtımı için ölçeklenebilir SDLC güvenliği.
MetaDefender Software Supply Chain Hakkında
MetaDefender Software Supply Chain , güvenlik tehditlerini ve güvenlik açıklarını belirlemek için açık kaynaklı üçüncü taraf bileşenleri de dahil olmak üzere her yazılım kitaplığını tarayarak DevSecOps işlem hattınızı geliştirir. Tespit ve önleme teknolojilerimizle SDLC'niz, uygulama güvenliğini ve uyumluluğu güçlendirmek için kötü amaçlı yazılımlardan ve güvenlik açıklarından korunur.
SBOM'u CycloneDX Formatına Aktarma
Uyumluluk gereksinimlerini karşılamak ve ekosistem entegrasyonunu sağlamak için geliştirme ve güvenlik ekipleri SBOM 'ları (Software Bill of Materials) CycloneDX formatında dışa aktarabilir.
Bu, şu yöndeki çabaları desteklemektedir:
- Standartlaştırılmış formatlarda SBOM üretimini basitleştirin.
- SBOM'ların düzenleyicilere veya üçüncü taraf paydaşlara gönderilmesini sağlayın.
- Araçlar, ekosistemler ve tedarik zinciri ortakları arasında uyumluluğu sağlayın.
- Ek yük olmadan gelişen yazılım tedarik zinciri güvenlik standartlarını karşılayın.
Daha fazlası gelecek
Güvenlik ve DevSecOps ekiplerine geniş ölçekte güvenli yazılım göndermek için ihtiyaç duydukları otomasyonu, görünürlüğü ve kontrolü sağlamak için MetaDefender Software Supply Chain'nin yeteneklerini genişletmeye devam ediyoruz. Bu yeni özelliklerin özel bir incelemesi için siber güvenlik uzmanlarımıza ulaşın.
Yayın Detayları
- ÜrünMetaDefender Software Supply Chain
- Çıkış Tarihi: 16 Nisan 2025
- Sürüm Notları:2.5.0
- OPSWAT Portalından indirin
Daha fazla bilgi içinsiber güvenlik uzmanlarımızla görüşün.
