Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

MetaDefender Software Supply Chain .5.0: clasificación más rápida, mayor cumplimiento normativo 

Por Thao Duong, directora sénior de marketing de productos
Última actualización:
Comparte esta publicación

MetaDefender Software Supply Chain sigue mejorando la experiencia y la eficiencia de los equipos de AppSec y DevSecOps a la hora de proteger las aplicaciones frente a ataques a la cadena de suministro. En esta versión 2.5.0, presentamos un conjunto de funciones centradas en la gestión simplificada de vulnerabilidades y la estandarización de SBOM. Estas nuevas capacidades facilitan la gestión de la seguridad en contenedores, binarios y código fuente, con rapidez y a gran escala. 

Interfaz de usuario mejorada para los informes sobre repositorios y paquetes

Optimice la gestión de vulnerabilidades y clasifique los problemas con mayor rapidez a nivel de repositorio y de paquete.

Búsqueda de CVE

Identificar los componentes afectados por vulnerabilidades conocidas.

Escaneos basados en webhooks para binarios de GitLab y JFrog

Escaneos basados en webhooks para binarios de GitLab y JFrog

Ampliación de las funciones de corrección en JFrog Artifactory

Aborde las vulnerabilidades con mayor rapidez y minimice la exposición al riesgo mediante la copia, el traslado y la eliminación de artefactos binarios.

Exportación de SBOM con CycloneDX

Generación de informes para el cumplimiento normativo y la estandarización.

Informes sobre repositorios y paquetes: Vulnerability Management optimizada de Vulnerability Management 

Nuestra interfaz optimizada permite visualizar y analizar de forma flexible los datos sobre amenazas presentes en los repositorios y paquetes de tus proyectos. 

La pestaña «Informes» ofrece ahora dos modos de visualización distintos (a nivel de repositorio y a nivel de paquete) para facilitar tanto una visión general como información detallada a nivel de componentes. Los equipos Software pueden obtener información sobre todos los paquetes detectados en el repositorio y profundizar fácilmente en un paquete concreto para realizar un análisis más detallado. 

Vista a nivel de repositorio 

Captura de pantalla del panel de control que muestra un resumen de vulnerabilidades a nivel de repositorio en MetaDefender Software Supply Chain

Esta vista ofrece un resumen de los repositorios analizados, incluyendo: 

  • Se han detectado vulnerabilidades, malware y datos confidenciales 
  • Recuento total frente a recuento de paquetes vulnerables 
  • Estado del riesgo de la licencia 

Al hacer clic en cada repositorio, podrás ver una SBOM detallada y los resultados del análisis. 

Vista a nivel de paquete 

Captura de pantalla del panel de control que muestra los detalles sobre riesgos y vulnerabilidades a nivel de paquete enSupply ChainSoftware  MetaDefender

Esta vista se centra en los paquetes de software utilizados en tus proyectos y muestra: 

  • Nombres de paquetes 
  • Repositorios relacionados que contienen vulnerabilidades 
  • Estado de vulnerabilidad 
  • Clasificación de riesgos de licencias 
  • Niveles de gravedad del riesgo 

Opciones de filtro 

También puedes filtrar los resultados del análisis por:

  • Gravedad del riesgo de seguridad (Crítico, Alto, Medio, Bajo, Desconocido) 
  • Estado de la licencia (Permitida, Bloqueada) 
  • Conexiones activas (Repositorio, Container, Binario) 

Estas dos perspectivas respaldan diferentes funciones y flujos de trabajo entre los equipos de seguridad de aplicaciones, DevSecOps e ingeniería, lo que permite una priorización de riesgos más práctica y una colaboración más estrecha entre los equipos de seguridad e ingeniería. 

Búsqueda en CVE: Identificación inmediata de vulnerabilidades conocidas 

Captura de pantalla de la interfaz de usuario que muestra la función de búsqueda de CVE para la identificación de vulnerabilidades enSupply ChainSoftware  MetaDefender

Cuando se da a conocer un nuevo CVE, los equipos pueden buscarlo directamente para determinar si algún componente de su entorno se ve afectado, de modo que puedan responder a estas amenazas con la menor demora posible. Gracias a una base de datos de vulnerabilidades que se actualiza continuamente, esta función permite realizar una clasificación específica sin necesidad de correlacionar manualmente las referencias CVE con paquetes concretos o artefactos de compilación.  

Para los equipos que gestionan proyectos grandes y complejos con cientos de componentes analizados, esta actualización podría mejorar los flujos de trabajo de respuesta ante incidentes y los procesos de divulgación de vulnerabilidades. 

Medidas de corrección mejoradas para los binarios de JFrog 

En la versión 2.5.0, MetaDefender Software Supply Chain profundizando en nuestra integración con JFrog Artifactory con capacidades de corrección mejoradas: 

Corrección de duplicados

Transfiere de forma segura paquetes binarios verificados entre repositorios de artefactos, o aísla los paquetes sospechosos en un repositorio de cuarentena.

Solución para el borrado definitivo

Establece normas para eliminar de forma permanente los binarios comprometidos, manteniendo tus repositorios limpios y minimizando la exposición a riesgos relacionados con los artefactos.

Para poner esto en contexto, al gestionar artefactos en un proceso de CI/CD, los artefactos almacenados inicialmente en un repositorio de transición «sin verificar» pueden ser analizados por MetaDefender Software Supply Chain trasladados a un repositorio «seguro» una vez verificados. Esto ayuda a garantizar que los artefactos sean seguros y cumplan con las normas antes de su implementación. Al automatizar este proceso, los equipos pueden eliminar los pasos manuales y, al mismo tiempo, mantener la higiene de los artefactos, la trazabilidad y el acceso controlado a lo largo de todo el proceso. 

Como gestor de repositorios binarios ampliamente utilizado, JFrog Artifactory desempeña un papel fundamental en muchos procesos de CI/CD: almacena los resultados de las compilaciones, aloja dependencias de terceros y gestiona los artefactos de lanzamiento. Para los equipos de DevSecOps, garantizar que solo los binarios verificados y que cumplen con las políticas pasen a las etapas posteriores contribuye a respaldar las políticas de gobernanza de artefactos, refuerza la trazabilidad de las compilaciones y reduce el riesgo de amenazas a la cadena de suministro a nivel de los artefactos. 

Automatiza las comprobaciones de seguridad con webhooks para GitLab y JFrog Artifactory 

MetaDefender Software Supply Chain admite activadores basados en webhooks para automatizar los análisis de seguridad en respuesta a eventos clave del desarrollo. Esto permite que los análisis de seguridad se inicien automáticamente cuando se producen eventos específicos en JFrog Artifactory o GitLab

  • Inicia una comprobación inmediatamente después de una confirmación de código o una solicitud de incorporación de cambios. 
  • Analizar el código fuente al enviar o fusionar cambios en las ramas principales. 

Características principales

Diagrama de las características principales del análisis automatizado de vulnerabilidades de OPSWAT
  • URL específicas para flujos de trabajo: genera una URL de webhook única para cada repositorio conectado, lo que facilita la configuración en GitLab o JFrog Artifactory. 
  • Desencadenantes basados en eventos: Inicia automáticamente análisis al producirse eventos de envío o al crearse una solicitud de incorporación de cambios, para garantizar una validación continua a lo largo de todo el ciclo de desarrollo. 
  • Gestión centralizada del inventario: gestiona y supervisa los webhooks activos directamente desde la pantalla de inventario del escáner para garantizar el control y la visibilidad. 

Ventajas 

  • Incorporar la validación continua de los nuevos componentes en los flujos de trabajo de CI/CD.  
  • Visibilidad en tiempo real de los riesgos: los componentes nuevos o actualizados se evalúan tan pronto como se incorporan o modifican en el proyecto.  
  • Reduce el trabajo manual y los gastos generales de funcionamiento. 
  • Seguridad escalable en el ciclo de vida del desarrollo de software ( SDLC ) para una implementación ágil de software. 

Acerca deSupply Chain deSoftware MetaDefender 

MetaDefender Software Supply Chain su proceso de DevSecOps mediante el análisis de todas las bibliotecas de software, incluidos los componentes de código abierto de terceros, para identificar amenazas de seguridad y vulnerabilidades. Gracias a nuestras tecnologías de detección y prevención, su ciclo de vida del desarrollo de software (SDLC) queda protegido frente al malware y las vulnerabilidades, lo que refuerza la seguridad de las aplicaciones y el cumplimiento normativo. 

Exportar la lista de materiales (SBOM) al formato CycloneDX 

Para cumplir con los requisitos de conformidad y facilitar la integración en el ecosistema, los equipos de desarrollo y seguridad pueden exportar Software de materialesSoftware (SBOM) en formato CycloneDX. 

Esto respalda los esfuerzos por: 

  • Simplifica la generación de la lista de materiales de software (SBOM) en formatos estandarizados. 
  • Permitir el envío de SBOM a organismos reguladores o a terceros interesados. 
  • Garantizar la compatibilidad entre herramientas, ecosistemas y socios de la cadena de suministro. 
  • Cumpla con las normas de seguridad de la cadena de suministro de software en constante evolución sin gastos adicionales. 

Próximamente 

Seguimos ampliando las capacidadesSupply Chain MetaDefender Software Supply Chainpara ofrecer a los equipos de seguridad y DevSecOps la automatización, la visibilidad y el control que necesitan para lanzar software seguro a gran escala. Si desea una presentación personalizada de estas nuevas funciones, póngase en contacto con nuestros expertos en ciberseguridad. 

Detalles del lanzamiento  

Para obtener más información,ponte en contacto con nuestros expertos en ciberseguridad.  

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.