我们如何知道自动开源软件是否有新的漏洞？

Question

我有一个使用50+开源软件的工具，如果这些开源软件中的任何一个被利用并提出了新的漏洞，我需要立即得到通知，我应该修补相应的软件。

那么，有没有办法做到这一点呢？

我搜索了一些东西，比如CVE报告，开源威胁情报平台，但我找不到方法。

Answer 1

很好，很好的问题！许多人没有意识到这个问题，当你考虑到它的影响时，它是巨大的，因为你已经意识到了。

事实是，要做到这一点相当困难。在一些工具中，比如Node Package Manager (NPM)，您可以使用npm audit来检查安全数据库。这将生成存储库列表中的漏洞报告(其中大多数通常是开源的)，并解释它们的漏洞状态。

然而，解决这个问题的一个很好的工具叫做Synk。看看这个。它本质上是npm审计的类固醇，有很好的客户支持(我不为他们工作，所以不想在这里销售)。

要做什么

您可以将npm audit或Snyk集成到您的流水线中(如果您有此设置，则最好使用CI )。然后，在每次部署时，您可以确保至少检查了存储库的漏洞。