恩德實驗室增加分析和修補工具以確保開源軟體的安全性

恩多實驗室(Endor Labs)今天在2024年黑帽大會(Black Hat USA)上公開,該公司已將其軟體供應鏈安全平台增加了一項新功能,可評估升級開源軟體套件的難易程度,包括其可能對應用程式造成的影響。

此外,該公司還新增了「恩多魔法修補程式」(Endor Magic Patches),讓DevSecOps團隊能夠將較新版本的修補程式應用於舊版模組,如果他們判斷升級該模組的難度過高時。

恩多實驗室產品行銷總監珍妮爾(Jenn Gile)表示,這些分析功能將為DevSecOps團隊提供所需的環境資訊,讓他們可根據新模組可能對IT環境造成的干擾程度,來決定是否升級該模組。

雖然現有的軟體組成分析(SCA)工具能夠識別漏洞,但它們缺乏組織所需的關鍵補救建議,Gile補充說。相反,Endor Labs正在利用在建置時應用的分析,來確切地確定使用了哪些第三方依賴項,以及它們如何與應用程式代碼互動。

因此,大多數組織會選擇不升級模組,因為假設對業務的風險等級過高,她補充說。

相反地,DevSecOps團隊可能會決定繼續升級,卻發現所需的工作量遠遠超過預期。DevSecOps團隊發現這種困難程度後,回滾升級的情況並不罕見。

Endor Labs平台新增的最新功能,為DevSecOps團隊與其網路安全同事合作提供了可執行的情報,以便做出更明智的升級決策,Gile說。

如果確定升級模組過於具有挑戰性,DevSecOps團隊就可以選擇使用Endor Magic Patches部署原始碼和相關修補程式,包括測試、建置和部署步驟。

開源軟體安全已成為一個重大問題,因為依賴包含開源程式碼的應用程式的組織,無法輕易在發現新漏洞時開發補救方案。在許多情況下,就像臭名昭著的Log4J shell漏洞影響Java應用程式一樣,IT團隊會發現受影響的程式碼正由一小群未付酬的志願者維護,他們缺乏時間或動機快速開發補丁。

儘管開源社群正在集中資源來解決這種類型的挑戰,但許多企業IT組織正在重新評估其應用程式,旨在減少對未經大型開發人員團隊積極貢獻的開源軟體的依賴。

無論如何,當發現新的零時差漏洞時,DevSecOps團隊肯定會在駭客利用之前立即修復它。這在現今時代尤其重要,因為在漏洞公開和第一次攻擊利用它之間的時間,現在僅以小時計算。