Kaspersky® Open Source Software Threats Data Feed
大多数软件开发者都会在其开发周期中包含开源软件包,并且通常默认信任这些软件包的完整性。但是,开源软件经常包含严重漏洞和故意隐藏的威胁——这可能会让使用这些软件包的产品遭到入侵,容易受到操纵,包括可怕的供应链攻击。
随着网络威胁的数量和严重程度不断上升,传统的 DevOps 软件开发方法开始转向一种更具安全意识的方法,即DevSecOps,该方法主张从最初的规划和设计阶段一直到开发和测试等阶段均实施安全实践。显然,还需要将这一理念应用于开发周期中使用的任何开源软件。
卡巴斯基设计了一个宝贵的数据源,有助于将这种安全第一的方法应用于开源软件(卡巴斯基开源软件威胁数据源)。这是一个无二进制的纯文本数据集,揭示了卡巴斯基已知的数百万开源软件包中的威胁和漏洞。
此数据源涵盖以下威胁类型:
- 包含漏洞的软件包
- 包含恶意代码的软件包
- 包含风险软件(如加密挖矿、黑客工具等)的软件包
- 包含政治口号或在特定地区更改其功能的遭到入侵的软件包
此数据源提供来自以下存储库*(会定期扫描这些存储库) 的软件包的相关信息:
- Pypi
- Npm
- Nuget
- Maven
- Composer
- Go
- Rpm
- Debian
来自所有存储库的所有软件包都会自动与以下漏洞咨询进行匹配:
- GitHub 安全咨询
- CVE MITRE
- Debian 安全咨询
- CentOS 安全警报
- RedHat 安全咨询(仅提供此咨询的交叉链接)。
除软件包列表外,还提供以下有用的上下文:
- 对于漏洞:
- 生态系统连接
- 系统影响
- 易受攻击版本列表
- 适用于自动化的易受攻击版本 CPE
- 漏洞已修补的推荐版本列表
- 操作系统版本支持(对于 *nix 软件包)
- 漏洞咨询的交叉链接
- 当前正使用的漏洞的哈希值
- 对于恶意和遭到入侵的软件包:
- 生态系统连接
- 系统影响:恶意软件、黑客工具等
- 严重性
- 遭到入侵的软件包版本
- 遭到入侵的软件包版本的哈希值
- CWE(通用缺陷枚举):暂时仅适用于恶意软件包
开源软件威胁数据源的推荐用例如下所示:根据一个或多个参数(如软件包名称、软件包版本等),将数据源中的软件包与开发中使用的软件包进行匹配。
数据源以 JSON 格式提供。
注意:必须通过客户的工具进行匹配,因为卡巴斯基仅提供基于文本的数据源。这使此数据源以及所有其他卡巴斯基数据源保证能够 100% 安全地供任何公司和实体使用,即使是来自可能不愿采用卡巴斯基产品的国家/地区的那些公司和实体。
若要了解详情,请单击下方的“联系我们”按钮,并注明您需要有关卡巴斯基开源软件威胁数据源的更多信息,我们的代表将尽快与您联系。
* 随着其他存储库的流行,它们也可以得到支持