“我的团队负责管理向我们的框架添加开源组件的过程。版本更新和安全漏洞警报必须手动跟踪,这很困难。当我们需要时创建开源报告总是一件令人头痛的事情。Mend 使我们能够向客户提供他们所需的全面的开源报告,而不会中断我们的工作。”
——Gil Maletski, CTO Property & Casualty Division, by SAPIENS
ITT-Mend SCA 提供了什么?
可行修复建议
容器镜像扫描
恶意软件包支持
依赖自动更新
支持200多种语言
高级报告和策略
Mend SCA如何助您管理开源依赖项的风险
高级可达性分析
- 一旦 Mend SCA 识别出易受攻击的依赖项,它就会生成一个调用图,清楚地显示您的代码是否调用直接依赖项和传递依赖项中的易受攻击函数。
- 通过聚焦严重漏洞优先进行补救,免受真正的威胁。
基于风险的优先级
- Mend SCA 不局限于 CVSS 分数,它还能分析可及性和可利用性,从而获得基于风险的视图。
- 它还融入了 CVSS 4.0,具体了解您的应用程序背景下的风险,而非仅仅停在理论层面。
许可合规性
- 确保您的开源依赖项符合法律要求。
- Mend SCA 可识别依赖关系的许可证种类,数据库中跟踪了 2,700 多种许可证,从而为您提供每种依赖关系许可证准确的风险评估。
- 通过开源许可的白名单或黑名单,您可以执行许可政策,或快速生成开源尽职调查报告。
阻止恶意软件包
- Mend SCA 透过表层,以极致的准确性检测出数据窃取程序和加密货币挖掘程序等恶意软件包。
- 我们独特的检测方法和专业的安全研究团队可确保您免受高度伪装威胁的侵害。使用 Mend SCA 保护您的代码、保护您的用户并阻止恶意行为。
软件物料清单 (SBOM)
- Mend SCA 可以让您编译所有依赖项的准确 SBOM,让您全面了解现有的所有开源库和依赖项。
- 您可以轻松地将 SBOM 导出为符合 NTIA 标准的格式,如 SPDX 和 CycloneDX。
