隨著開發人員在他們的項目中越來越依賴開源組件,了解哪些已被使用是能夠識別更新和潛在威脅的關鍵部分。這就是軟件物料清單 (SBOM) 必不可少的地方。
應用程序安全測試和軟件研究服務公司 GrammaTech 正在推出免費的 SBOM 服務,以及新版本的 CodeSentry 軟件組合分析 (SCA) 工具。
與源代碼工具不同,CodeSentry 分析執行的二進製文件以識別所有組件或漏洞,包括那些包含在後期製作應用程序中的組件或漏洞。這意味著它可以通過分析“已部署”的最終二進製文件來識別第二、第三方和第四方組件,無論它們從何處進入軟件供應鏈。
“CodeSentry 現在提供三個版本,允許客戶選擇應用程序安全性符合他們對軟件清單、漏洞評估或安全情報的要求的能力,”GrammaTech 技術產品管理總監 Walter Capitani 說。 “此外,借助 SBOM 版,組織可以清點他們的軟件,作為實施主動軟件供應鏈安全計劃的第一步,以避免由 Log4j 等事件引起的防火練習。”
另請參見:
CodeSentry 有三個版本,一個 SBOM 版本生成軟件清單以識別有風險的開源組件並評估許可信息以避免違規;一個安全版,它增加了識別組件 N-Day 漏洞的能力,為應用程序風險評估提供安全評分,評估跨組件的可利用性,並支持額外的部署和 API 選項;以及具有上述所有功能以及檢測零日漏洞的能力的高級安全版,支持高級掃描以檢測高級 N-Day 弱點和打包安全評估。
要獲得免費的 SBOM,公司可以註冊以向 GrammaTech 提供二進製文件或工件。他們將收到一份採用他們首選格式的免費 SBOM 報告,該報告揭示了與其應用程序相關的軟件供應鏈、第三方和開源安全風險。這將僅在有限的時間內可用。
圖片來源:Andreus/depositphotos.com