찾기에서 수정에 이르기까지 : Github Advanced Security Integrates Endor Labs SCA
개발자가 점점 압도당하는 것은 놀라운 일이 아닙니다. 매년 발표되는 새로운 CVE의 수는 지난 10 년 동안 거의 500% 증가했습니다. 그리고 직접 종속성이 10 개 밖에되지 않는 평균 프로젝트는 수백 가지 간접 종속성을 가질 수 있습니다. 간단히 말해서, 개발자는 종종 보안 경고의 산 아래에 묻히고 먼저 치료할 것이 우선 순위를 정할 수 없습니다.
작년의 XZ Utils 백도어와 같은 유명 공급망 공격은 주목을 끌는 경향이 있지만, 그들이 포즈를 취하는 위험은 전반적인 위협 환경의 일부일뿐입니다. 더 큰 위험은 종종 덜 알려진 오픈 소스 의존성에서 배치되지 않은 취약점에서 비롯됩니다.
Github의 Endor Labs와의 파트너십은 소음을 삭감하여 개발자를 돕습니다. 정확히 Github을 떠나지 않고 가장 중요한 취약점을 식별, 개선 및 수정하십시오.
Endor Labs 소프트웨어 구성 분석 (SCA)이 GitHub Advanced Security 및 Dependabot에 통합되면서 개발 팀은 최대 92%의 위험 의존성 보안 경고를 무시하여 가장 중요한 취약점에 중점을 둘 수 있습니다.
작동 방식
Endor Labs SCA는 컨텍스트를 오픈 소스 취약성 탐지로 가져옵니다.
Endor Labs SCA는 도달 가능성, 이용성 등과 같은 요인에 따라 잠재적 영향으로 의존성 취약점을 식별하고 우선 순위를 정하는 데 도움이됩니다. 예를 들어, Endor Labs는 주어진 의존성의 취약한 기능이 실제로 응용 프로그램에서 도달 할 수 있는지 또는 전이 의존성의 사용하지 않은 코너에 앉아 있는지 확인합니다. 보안 팀은 위험이 진정으로 보증되지 않는 한 개발자가 방해받지 않도록 위험, 라이센스 및 권한 프로파일을 구성 할 수 있습니다.
https://www.youtube.com/watch?v=kzfymzyhmpk
GitHub로 오픈 소스 취약점을 우선 순위를 정하고 수정하십시오
GitHub Advanced Security는 중요한 보안 관행을 개발 워크 플로에 직접 통합하여 개발자에게 코드를 보장하는 간소화 된 방법을 제공합니다. 이 기능은 종속성 검토, 비밀 스캔, 코드 스캔 및 Copilot Autofix를 포함하여 오픈 소스 관리자에게 무료입니다.
모든 GitHub 사용자가 무료로 사용할 수있는 Dependabot은 종속성 업데이트를 자동화하므로 더 많은 시간을 구축 할 수 있습니다. 개발자는 버튼 클릭과 함께 Dependabot-Authored Pull 요청을 병합하거나 엔도 패치를 적용하여 취약점을 개선 할 수 있습니다.
자동화 된 워크 플로를 확보하십시오
GitHub 동작을 사용하면 컨테이너를 구축하거나 웹 서비스를 배포하거나 새로운 사용자를 오픈 소스 프로젝트에 환영하든 모든 소프트웨어 워크 플로우를 쉽게 자동화 할 수 있습니다. 이러한 작업은 종종 버그 수정 및 새로운 기능으로 업데이트되며 유지 관리하는 데 시간이 걸릴 수 있습니다.
Endor Labs는 사용중인 작업 및 의존성을 자동으로 발견하여 위험, 라이센스 및 권한 프로파일에 적합합니다. Eppendabot은 종속성을 자동으로 업데이트하고 코드 스캔은 기존 워크 플로 구성 취약점을 식별하고 새로운 워크 플로 구성 취약점을 식별하는 데 도움이됩니다.
시작하세요
Endor Labs에 가입하고 Endor Labs Github 앱을 시작하는 것에 대해 자세히 알아보십시오.
작성자가 작성했습니다
Post Comment