使用 CVE 关联保护您的 conda-forge 软件包。
介绍 Conda-Forge CVE 关联
组织在利用开源软件和确保其数据科学管道的安全性方面常常面临平衡。市场上大多数安全工具都是为 DevOps 和 JavaScript 等语言构建的,并且它们通常不适用于 Python。
作为 Anaconda 持续致力于使开源软件包安全用于商业用途的承诺的一部分,我们很高兴地宣布,conda-forge 软件包的常见漏洞和披露 (CVE) 关联现已在有限版本中提供,并将很快普遍提供给 Anaconda 安全产品的客户。
作为 Anaconda 仓库的管理者和维护者,我们非常熟悉 Python 和 R 开源生态系统,并根据我们自己的构建和测试标准在我们私有的基础设施上编译所有软件包。除了提供精选的 CVE 数据外,我们还提供像 CVE 关联这样的工具,以帮助您将易受攻击的软件包排除在您的开源管道之外。
结合 Anaconda CVE 管理的强大功能,conda-forge CVE 关联使用户能够深入了解其 conda-forge 软件包的安全性,从而使团队能够做出明智的安全决策,更好地管理其供应链中的漏洞,并最终获得更多的内部控制,以最大限度地降低任何安全风险。
继续阅读以了解更多关于 Anaconda 的 CVE 管理和 conda-forge CVE 关联如何工作的信息。
Anaconda 的 CVE 管理是什么样的?
对于我们仓库中的软件包,Anaconda 手动管理 美国国家标准与技术研究院 (NIST) 和国家漏洞数据库 (NVD) CVE。Anaconda 专门的管理团队审查标记的软件包,验证特定 CVE 影响的软件,并管理 CVE 状态和评分。Anaconda 的管理使组织能够信任 CVE 评分,并根据状态和通用漏洞评分系统 (CVSS) 轻松筛选 CVE,从而只允许符合内部安全策略的软件包进入工作流程。查看关于 Anaconda CVE 管理的这份资源以了解更多信息。
conda-forge 软件包的 CVE 关联是如何工作的?
您现在可以查看哪些 CVE 与已镜像到您的安全仓库的 conda-forge 软件包相关联。这使您能够看到报告给 NIST 的 CVE,以便您可以将策略应用于您的 conda-forge 频道,以筛选出易受攻击的软件包并确保供应链安全。通过这种对 conda-forge 软件包安全性的额外洞察,您的团队可以删除任何不符合您组织使用标准的 conda-forge 软件包。
开始使用 Anaconda 和 CVE 关联
Anaconda 的 CVE 管理和 conda-forge 软件包关联提供可操作且有意义的 CVE 报告,因此企业团队可以优化其开源软件的使用,从业人员可以专注于构建模型,而不是 IT 管理问题。 立即联系我们以了解更多信息。
