AI Hacking - Como os hackers utilizam a inteligência artificial nos ciberataques

Ler agora
Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.
Início/ Blogue / MetaDefender Software Supply Chain v2.5.0: Mais rápido...
Segurança Supply Chain

MetaDefender Software Supply Chain v2.5.0: Triagem mais rápida, Conformidade mais forte 

por Thao Duong, Gestor Sénior de Marketing de Produtos
Partilhar esta publicação

MetaDefender Software Supply Chain continua a melhorar a experiência e eficiência das equipas AppSec e DevSecOps na proteção de aplicações contra ataques à cadeia de fornecimento. Nesta versão v2.5.0, introduzimos um conjunto de recursos focados no gerenciamento simplificado de vulnerabilidades e na padronização do SBOM. Esses novos recursos facilitam o gerenciamento da segurança em contêineres, binários e código-fonte - em velocidade e escala. 

Interface de utilizador melhorada para relatórios de repositórios e pacotes

Optimize a gestão de vulnerabilidades e faça a triagem de problemas mais rapidamente ao nível do repositório e do pacote.

Pesquisa CVE

Identificar os componentes afectados por vulnerabilidades conhecidas.

Verificações baseadas em Webhook para binários do GitLab e do JFrog

Verificações baseadas em Webhook para binários do GitLab e do JFrog

Remédios alargados no JFrog Artifactory

Resolva as vulnerabilidades mais rapidamente e minimize a exposição ao risco copiando, movendo e eliminando artefactos binários.

Exportação de SBOM do CycloneDX

Geração de relatórios para conformidade e normalização.

Relatórios de repositórios e pacotes: Vulnerability Management optimizada Vulnerability Management 

A nossa interface refinada permite uma visualização flexível e a análise de dados de ameaças em repositórios e pacotes nos seus projectos. 

O separador Relatórios oferece agora dois modos de visualização distintos (ao nível do Repositório e ao nível do Pacote) para suportar tanto a visibilidade de alto nível como as informações detalhadas ao nível dos componentes. As equipas de desenvolvimento Software podem obter informações sobre todos os pacotes descobertos no repositório e aprofundar facilmente um pacote específico para uma investigação mais aprofundada. 

Vista ao nível do repositório 

Captura de ecrã do painel que mostra o resumo das vulnerabilidades ao nível do repositório naSupply ChainSoftware MetaDefender

Esta vista fornece um resumo dos repositórios analisados, incluindo: 

  • Vulnerabilidades, malware e segredos detectados 
  • Total vs. contagens de pacotes vulneráveis 
  • Estado de risco da licença 

Clicar em cada repositório permite-lhe ver uma SBOM detalhada e os resultados da análise. 

Vista ao nível do pacote 

Captura de ecrã do painel que apresenta detalhes de risco e vulnerabilidade ao nível do pacote naSupply ChainSoftware MetaDefender

Esta vista centra-se nos pacotes de software utilizados nos seus projectos, que são apresentados: 

  • Nomes de pacotes 
  • Repositórios associados que contêm vulnerabilidades 
  • Estado de vulnerabilidade 
  • Classificação dos riscos das licenças 
  • Níveis de gravidade do risco 

Opções de filtro 

Também pode filtrar os resultados da verificação por:

  • Gravidade do risco de segurança (Crítico, Alto, Médio, Baixo, Desconhecido) 
  • Estado da licença (Permitido, Bloqueado) 
  • Ligações activas (Repositório, Container, Binário) 

Estas perspectivas duplas suportam diferentes funções e fluxos de trabalho entre AppSec, DevSecOps e equipas de engenharia para permitir uma priorização de risco mais acionável e uma colaboração mais estreita entre segurança e engenharia. 

Pesquisa CVE: Identificação imediata de vulnerabilidades conhecidas 

Captura de ecrã da interface do utilizador ilustrando a funcionalidade de pesquisa CVE para identificação de vulnerabilidades naSupply ChainSoftware MetaDefender

Quando um novo CVE é divulgado, as equipas podem pesquisá-lo diretamente para determinar se algum componente do seu ambiente é afetado, para que possam responder a estas ameaças com um atraso mínimo. Apoiada por uma base de dados de vulnerabilidades continuamente actualizada, esta funcionalidade permite uma triagem direcionada sem correlacionar manualmente as referências CVE com pacotes específicos ou artefactos de compilação.  

Para as equipas que gerem projectos grandes e complexos com centenas de componentes analisados, esta atualização pode melhorar os fluxos de trabalho de resposta a incidentes e os processos de divulgação de vulnerabilidades. 

Correcções melhoradas para binários JFrog 

Na v2.5.0,Supply Chain Software MetaDefender continua a aprofundar a nossa integração com o JFrog Artifactory com capacidades de remediação melhoradas: 

Remediação de cópias

Transferir com segurança pacotes binários verificados entre repositórios de artefactos ou isolar pacotes suspeitos para um repositório de quarentena.

Remediação de eliminação de disco rígido

Defina regras para remover permanentemente binários comprometidos, mantendo seus repositórios limpos e minimizando a exposição a riscos relacionados a artefatos.

Para colocar isso em contexto, ao gerenciar artefatos em um pipeline CI/CD, os artefatos inicialmente armazenados em um repositório de preparação "não verificado" podem ser verificados pelo MetaDefender Software Supply Chain e movidos para um repositório "seguro" depois de verificados. Isto ajuda a garantir que os artefactos estão seguros e em conformidade antes da implementação. Ao automatizar este processo, as equipas podem eliminar passos manuais enquanto mantêm a higiene dos artefactos, a rastreabilidade e o acesso controlado ao longo do pipeline. 

Como um gerenciador de repositório binário amplamente utilizado, o JFrog Artifactory desempenha um papel central em muitos pipelines de CI/CD - armazenando saídas de compilação, hospedando dependências de terceiros e gerenciando artefatos de lançamento. Para as equipas DevSecOps, garantir que apenas os binários verificados e em conformidade com as políticas são promovidos para fases posteriores ajuda a suportar as políticas de governação de artefactos, reforça a proveniência da construção e reduz o risco de ameaças à cadeia de fornecimento ao nível dos artefactos. 

Automatizar verificações de segurança com Webhooks para GitLab e JFrog Artifactory 

MetaDefender Software Supply Chain agora suporta gatilhos baseados em webhook para automatizar verificações de segurança em resposta a eventos-chave de desenvolvimento. Isso permite que as verificações de segurança sejam iniciadas automaticamente quando eventos específicos ocorrem no JFrog Artifactory ou no GitLab

  • Accione uma análise imediatamente após um commit de código ou um pull request. 
  • Analise o código-fonte ao fazer push ou merge para as ramificações principais. 

Características principais

Diagrama das principais caraterísticas da análise automática de vulnerabilidades pelo OPSWAT
  • URLs específicos do fluxo de trabalho: Gera um URL de webhook exclusivo para cada repositório conectado, permitindo uma configuração fácil no GitLab ou no JFrog Artifactory. 
  • Accionadores baseados em eventos: Inicie automaticamente as verificações em eventos push ou na criação de pull requests para garantir a validação contínua durante todo o ciclo de desenvolvimento. 
  • Gestão de inventário centralizada: Gerir e monitorizar webhooks activos diretamente a partir do ecrã de inventário do scanner para controlo e visibilidade. 

Benefícios 

  • Integrar a validação contínua de novos componentes nos fluxos de trabalho CI/CD.  
  • Visibilidade em tempo real dos riscos - os componentes novos ou actualizados são avaliados logo que são introduzidos ou modificados no projeto.  
  • Reduz o esforço manual e as despesas gerais operacionais. 
  • Segurança SDLC escalável para implantação de software em rápida evolução. 

Sobre aSupply ChainSoftware MetaDefender 

Supply Chain Software MetaDefender melhora o seu pipeline DevSecOps ao analisar cada biblioteca de software, incluindo componentes de terceiros de código aberto para identificar ameaças e vulnerabilidades de segurança. Com as nossas tecnologias de deteção e prevenção, o seu SDLC está protegido contra malware e vulnerabilidades para reforçar a segurança das aplicações e a adesão à conformidade. 

Exportar SBOM para o formato CycloneDX 

Para atender aos requisitos de conformidade e permitir a integração do ecossistema, as equipes de desenvolvimento e segurança podem exportar SBOMs (Software Bill of Materials) no formato do CycloneDX. 

Isto apoia os esforços para: 

  • Simplificar a geração de SBOM em formatos padronizados. 
  • Permitir a apresentação de SBOMs a reguladores ou terceiros interessados. 
  • Assegurar a compatibilidade entre ferramentas, ecossistemas e parceiros da cadeia de abastecimento. 
  • Cumprir as normas de segurança da cadeia de fornecimento de software em constante evolução sem despesas adicionais. 

Mais para vir 

Continuamos a expandir as capacidades do MetaDefender Software Supply Chainpara dar às equipas de segurança e DevSecOps a automação, visibilidade e controlo de que necessitam para enviar software seguro em escala. Para um passo a passo personalizado desses novos recursos, entre em contato com nossos especialistas em segurança cibernética. 

Detalhes da publicação  

Para mais informações,fale com os nossos especialistas em cibersegurança.  

Falar com um especialista
Etiquetas:

Mensagens mais recentes

Subscrever a newsletter OPSWAT

Obtenha as últimas actualizações da empresa OPSWAT , juntamente com informações sobre eventos e as notícias que estão a fazer avançar a indústria.
Inscrever-me

Siga-nos nas redes sociais Media

Siga OPSWAT no seu LinkedIn, Facebook, Twitter e YouTube para mais informações!

Mantenha-se atualizado com OPSWAT!

Inscreva-se hoje para receber as últimas actualizações da empresa, histórias, informações sobre eventos e muito mais.
Subscribe