SAP 开源 SCA 工具，扫描软件包依赖漏洞

环球最大 ERP 供给商 SAP 克日公布开源软件组合说明（SCA）器材 vulnerability-assessment-tool。

vulnerability-assessment-tool 偏重于检测如 OWASP-Top 10 2017 A9 所述的懦弱的组件，，通过扫描 Java 和 Python 应用软件包中的直接依靠项和间接依靠项，比拟裂痕库，判定检测包是否包括已知裂痕。

据先容，vulnerability-assessment-tool 已在内部测试了两年，对 600 多个项目举办了 20000 次扫描。

特征如下：

• 通过查找 Java 文件中的要领署名并将其源码与字节码比拟裂痕版本和修复版本，实现对裂痕代码的检测。
• 通过关于裂痕代码的隐藏和现实执行信息，应用开拓职员和安详专家对存在裂痕的依靠举办评估。
• 向已知裂痕库添加新裂痕不必要从头扫描应用措施。
• 给出缓解裂痕提议，通过计较多个指标，开拓职员可以选择裂痕依靠的最佳非裂痕更换品。
• 假如开拓职员得出的结论是在给定的应用措施上下文中无法操作裂痕，那么可以不必举办单独的说明。
• 组织内部 CERT 可以查询受相干裂痕影响的全部应用。

【编辑保举】

1. AWS 推出加强的 Elasticsearch 开源刊行版
2. JavaScript 和 CSS 常用器材要领封装
3. 方才，Facebook把处事27亿人的AI硬件体系开源了
4. 蚂蚁金服开源 SOFAJRaft：出产级 Java Raft 算法库
5. 阿里开源 OpenJDK 刊行版 Dragonwell

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!