当不法分子潜伏伺机发动 网络安全攻击 时,保护软件供应链安全 必须成为重中之重。许多组织仍然存在可以被利用的安全漏洞。
在 Anaconda,我们致力于弥合这些漏洞,并确保您的开源软件 (OSS) 管道对您的数据科学团队而言既可访问又安全,而不会减慢开发和创新速度。因此,我们很高兴宣布发布 Anaconda Server 6.5.0,该版本引入了安全增强功能,例如 conda-forge CVE 关联、审计日志和签名信息,这些功能已添加到 Anaconda 的商业版和企业版计划中。
什么是 Anaconda 的商业版计划?
Anaconda 的商业版计划使安全团队能够在不阻碍数据科学工作流程的情况下执行组织范围的安全策略。数据从业人员可以快速开发和部署模型,并确信他们偏爱的软件包满足其组织的安全要求。IT 管理员可以使用基于角色的访问控制跨渠道管理权限,而安全领导者可以使用许可证和软件包过滤来主动实施企业级策略。
什么是 Anaconda Server?
Anaconda Server 是 Anaconda 商业版计划(及以上版本)的本地部署和 托管托管 部署中包含的本地存储库。Anaconda Server 允许您集中组织的项目,保护开源软件包和库,并使用本地或云中托管的私有存储库管理漏洞。
已经包含的内容
与公共存储库不同,Anaconda 的商业版和企业版计划提供保护您的供应链免受网络安全威胁的功能,例如:
- 集中式存储库:访问从源代码构建的数千个软件包,位于私有基础设施上,并具有严格的 QA 测试标准以确保安全和合规性。
- 令牌访问:防止未经授权的访问。
- Conda 签名验证:自信地安装或更新软件包,确保它们来自经过验证的来源,并且在传输过程中未被篡改。
- 软件物料清单 (SBOM):根据软件包数据交换 (SPDX) 规范构建,SBOM 提供对软件组件的可见性,有助于了解潜在的风险因素,并在出现问题时能够更快地响应。
- CVE 治理:Anaconda 的治理团队会审核标记的软件包,验证哪些软件受到特定常见漏洞和披露 (CVE) 的影响,并治理 CVE 状态和评分,让您的团队更加自信。
新增功能
我们一直在不断添加防御层,以增强您的 OSS 安全实践。在最新的 Anaconda Server 6.5.0 版本中,我们包含了
- 漏洞报告:监控潜在的软件风险。Anaconda 增强后的漏洞报告功能为您提供有关 Python 软件包中安全漏洞的全面信息。此功能使您能够主动管理漏洞,并帮助您减轻潜在风险。
- 用户工件报告:监控活动并领先于漏洞。IT 管理员可以使用 Anaconda 的工件报告更轻松地监控和跟踪用户活动,确保合规性,并促进漏洞管理。这带来了增强的透明度、问责制和安全性的好处,尤其是在监管严格的企业环境中。与手动跟踪用户操作或依赖不完整的日志等替代方法不同,工件报告是用户交互的全面可靠记录,使管理员能够有效地保持控制并满足合规性要求。
- 签名软件包:确保软件包签名的有效性。现在,对于来自 Anaconda 治理存储库的软件包,通道中提供了签名信息。此功能通过允许用户确保下载的软件包的完整性,提供了额外的安全层。
- CVE 元数据:获取有关软件包漏洞的详细信息。Anaconda 现在包含 CVE 元数据,提供有关与软件包相关的特定漏洞的全面信息。此元数据使您能够更快、更准确地评估和优先处理安全更新。
- Conda-forge CVE 关联:更快地识别和减轻安全风险。此功能提供了一种方法来识别与已镜像到安全存储库的 conda-forge 软件包关联的 CVE。您可以查看已报告给美国国家标准与技术研究院 (NIST) 的 CVE,并在您的 conda-forge 通道中添加策略以过滤掉漏洞软件包。有了这项新功能,您可以更快地识别和减轻 Python 开源项目中的安全风险。
为什么选择 Anaconda?
Anaconda 的设计以安全为中心,内置了多层保护。我们的集中式专业存储库包含数千个您的数据科学家可以选择的受信任软件包,所有这些软件包都从源代码构建,位于私有基础设施上,并经过严格的 QA 测试,并具有严格的安全和合规性标准。
掌控您的资产,并赋予您的数据科学家使用他们喜欢的工具的能力,同时按照您的高标准管理工作流程。立即安排演示!
