MetaDefender Software Supply Chain continue d'améliorer l'expérience et l'efficacité des équipes AppSec et DevSecOps dans la sécurisation des applications contre les attaques de la chaîne logistique. Dans cette version 2.5.0, nous introduisons un ensemble de fonctionnalités qui se concentrent sur la gestion simplifiée des vulnérabilités et la standardisation du SBOM. Ces nouvelles fonctionnalités facilitent la gestion de la sécurité à travers les conteneurs, les binaires et le code source - à la vitesse et à l'échelle.
Amélioration de l'interface utilisateur pour les rapports sur les référentiels et les paquets
Optimiser la gestion des vulnérabilités et trier les problèmes plus rapidement au niveau du référentiel et des paquets.
Recherche CVE
Identifier les composants affectés par des vulnérabilités connues.
Scans des binaires GitLab et JFrog basés sur des Webhooks
Scans des binaires GitLab et JFrog basés sur des Webhooks
Remédiations étendues dans JFrog Artifactory
Corrigez les vulnérabilités plus rapidement et minimisez l'exposition aux risques en copiant, déplaçant et supprimant les artefacts binaires.
CycloneDX SBOM Export
Génération de rapports pour la conformité et la normalisation.
Rapports sur les dépôts et les paquets : Vulnerability Management optimisée Vulnerability Management
Notre interface raffinée permet une visualisation et une analyse flexibles des données relatives aux menaces dans les référentiels et les paquets de vos projets.
L'onglet Rapports offre désormais deux modes d'affichage distincts (au niveau du référentiel et au niveau du paquet) pour permettre une visibilité de haut niveau et des informations détaillées au niveau des composants. Les équipes de développement Software peuvent avoir un aperçu de tous les paquets découverts dans le référentiel, et peuvent facilement approfondir un paquet particulier pour une investigation plus poussée.
Vue au niveau du référentiel
Cette vue fournit un résumé des référentiels analysés, y compris :
- Détection de vulnérabilités, de logiciels malveillants et de secrets
- Nombre total de paquets et nombre de paquets vulnérables
- Statut de risque de la licence
En cliquant sur chaque dépôt, vous pouvez afficher un SBOM détaillé et les résultats de l'analyse.
Vue au niveau du paquet
Cette vue se concentre sur les logiciels utilisés dans vos projets :
- Noms des paquets
- Dépôts associés contenant des vulnérabilités
- État de vulnérabilité
- Classification des risques liés aux licences
- Niveaux de gravité des risques
Options de filtrage
Vous pouvez également filtrer les résultats de l'analyse par :
- Gravité du risque de sécurité (critique, élevé, moyen, faible, inconnu)
- Statut de la licence (autorisée, bloquée)
- Connexions actives (Référentiel, Container, Binaire)
Ces deux perspectives prennent en charge différents rôles et flux de travail entre les équipes AppSec, DevSecOps et d'ingénierie afin de permettre une hiérarchisation des risques plus efficace et une collaboration plus étroite entre les équipes de sécurité et d'ingénierie.
Recherche CVE : Identification immédiate des vulnérabilités connues
Lorsqu'une nouvelle CVE est divulguée, les équipes peuvent la rechercher directement pour déterminer si un composant de leur environnement est affecté, afin de pouvoir répondre à ces menaces dans les plus brefs délais. S'appuyant sur une base de données de vulnérabilités continuellement mise à jour, cette fonctionnalité permet un triage ciblé sans avoir à corréler manuellement les références CVE à des paquets spécifiques ou à des artefacts de construction.
Pour les équipes qui gèrent des projets importants et complexes comportant des centaines de composants analysés, cette mise à jour pourrait améliorer les flux de travail de réponse aux incidents et les processus de divulgation des vulnérabilités.
Remédiations améliorées pour les binaires JFrog
Dans la version 2.5.0, MetaDefender Software Supply Chain continue d'approfondir son intégration avec JFrog Artifactory avec des capacités de remédiation améliorées :
Remédiation à la copie
Transférez en toute sécurité les paquets binaires vérifiés entre les référentiels d'artefacts ou isolez les paquets suspects dans un référentiel de quarantaine.
Remédiation aux suppressions de données
Définissez des règles pour supprimer définitivement les binaires compromis, afin de maintenir vos référentiels propres et de minimiser l'exposition aux risques liés aux artefacts.
Pour mettre cela en contexte, lors de la gestion des artefacts dans un pipeline CI/CD, les artefacts initialement stockés dans un référentiel " non vérifié " peuvent être scannés par MetaDefender Software Supply Chain et déplacés vers un référentiel " sécurisé " une fois vérifiés. Cela permet de s'assurer que les artefacts sont sûrs et conformes avant le déploiement. En automatisant ce processus, les équipes peuvent éliminer les étapes manuelles tout en maintenant l'hygiène des artefacts, la traçabilité et l'accès contrôlé à travers le pipeline.
En tant que gestionnaire de référentiel binaire largement utilisé, JFrog Artifactory joue un rôle central dans de nombreux pipelines CI/CD - en stockant les résultats de la construction, en hébergeant les dépendances tierces et en gérant les artefacts de publication. Pour les équipes DevSecOps, s'assurer que seuls les binaires vérifiés et conformes aux politiques sont promus vers les étapes en aval permet de soutenir les politiques de gouvernance des artefacts, de renforcer la provenance des constructions et de réduire le risque de menaces de la chaîne d'approvisionnement au niveau des artefacts.
Automatiser les contrôles de sécurité avec les Webhooks pour GitLab et JFrog Artifactory
MetaDefender Software Supply Chain supporte désormais les déclencheurs basés sur les webhooks pour automatiser les scans de sécurité en réponse aux événements clés du développement. Cela permet de lancer automatiquement des analyses de sécurité lorsque des événements spécifiques se produisent dans JFrog Artifactory ou GitLab.
- Déclencher une analyse immédiatement après un commit de code ou une pull request.
- Analyser le code source lors de la poussée ou de la fusion vers les branches principales.
Caractéristiques principales
- URL spécifiques au flux de travail : Générer une URL de webhook unique pour chaque dépôt connecté, permettant une configuration facile dans GitLab ou JFrog Artifactory.
- Déclencheurs basés sur des événements : Lancez automatiquement des analyses en cas d'événements "push" ou de création de demandes "pull" pour garantir une validation continue tout au long du cycle de développement.
- Gestion centralisée de l'inventaire : Gérez et surveillez les webhooks actifs directement à partir de l'écran d'inventaire du scanner pour plus de contrôle et de visibilité.
Avantages
- Intégrer la validation continue des nouveaux composants dans les flux de travail CI/CD.
- Visibilité en temps réel des risques - les composants nouveaux ou mis à jour sont évalués dès qu'ils sont introduits ou modifiés dans le projet.
- Réduit les efforts manuels et les frais généraux opérationnels.
- Sécurité SDLC évolutive pour le déploiement rapide de logiciels.
A propos de laSupply Chain MetaDefender Software
MetaDefender Software Supply Chain améliore votre pipeline DevSecOps en analysant chaque bibliothèque logicielle, y compris les composants tiers open-source, afin d'identifier les menaces de sécurité et les vulnérabilités. Grâce à nos technologies de détection et de prévention, votre SDLC est protégé contre les malwares et les vulnérabilités afin de renforcer la sécurité des applications et le respect de la conformité.
Exporter le SBOM au format CycloneDX
Pour répondre aux exigences de conformité et permettre l'intégration de l'écosystème, les équipes de développement et de sécurité peuvent exporter des SBOM (Software Bill of Materials) au format CycloneDX.
Cela soutient les efforts visant à :
- Simplifier la génération de SBOM dans des formats standardisés.
- Permettre la soumission de SBOM aux régulateurs ou à des parties prenantes tierces.
- Assurer la compatibilité entre les outils, les écosystèmes et les partenaires de la chaîne d'approvisionnement.
- Répondre à l'évolution des normes de sécurité de la chaîne d'approvisionnement en logiciels sans frais supplémentaires.
Plus d'informations à venir
Nous continuons à développer les capacités de MetaDefender Software Supply Chainpour donner aux équipes de sécurité et de DevSecOps l'automatisation, la visibilité et le contrôle dont elles ont besoin pour livrer des logiciels sécurisés à grande échelle. Pour une présentation personnalisée de ces nouvelles fonctionnalités, contactez nos experts en cybersécurité.
Détails de la publication
- Produit :MetaDefender Software Supply Chain
- Date de sortie : 16 Avril 2025
- Notes de mise à jour :2.5.0
- Télécharger à partir du portail OPSWAT
Pour plus d'informations,contactez nos experts en cybersécurité.
