如何全面检测制品库自身安全以及内部镜像及运行时的安全?

如何全面检测制品库自身安全、内部镜像及运行时的安全

参与7

2同行回答

wp28556259wp28556259  软件架构设计师 , CMBC
制品库自身的安全,开源产品可以扫描其源码和依赖。商业产品只能找厂商要相关材料了。内部制品的安全靠安全产品或企业内安全团队来检测,和其他应用软件的检测办法一样显示全部

制品库自身的安全,开源产品可以扫描其源码和依赖。商业产品只能找厂商要相关材料了。
内部制品的安全靠安全产品或企业内安全团队来检测,和其他应用软件的检测办法一样

收起
银行 · 2021-11-17
浏览750
liwei1567liwei1567  解决方案架构师 , JFrog
这个问题包括两个方面1,自身安全,制品库软件的安全问题因为开源nexus及harbor,都是开源项目,没有安全团队维护,所以漏洞风险更新频率较慢,如果出现问题,也没有厂商支持JFrog时商业产品,所以如果有漏洞风险,可以第一时间由工程师现场修复2,对于制品库内部管理内容的安全主要是开源软...显示全部

这个问题包括两个方面
1,自身安全,制品库软件的安全问题
因为开源nexus及harbor,都是开源项目,没有安全团队维护,所以漏洞风险更新频率较慢,如果出现问题,也没有厂商支持
JFrog时商业产品,所以如果有漏洞风险,可以第一时间由工程师现场修复

2,对于制品库内部管理内容的安全
主要是开源软件、组件、镜像的安全,这个很容易存在依赖混淆攻击及软件供应链攻击,所以需要制品库具备安全扫描及开源合规扫描能力,对制品进行安全检测、影响分析、组成分析等。JFrog制品库可以完全满足此需求
对于运行时安全,需要对应的运行时扫描工具。

收起
互联网服务 · 2021-11-17
浏览751

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2021-11-16
  • 关注会员:3 人
  • 问题浏览:1498
  • 最近回答:2021-11-17
  • X社区推广