使用 CVE 关联功能保护您的 conda-forge 软件包。
介绍 Conda-Forge CVE 关联功能
在利用开源软件和确保数据科学管道安全方面,组织经常面临着平衡问题。市场上大多数安全工具都是为 DevOps 和 JavaScript 等语言构建的,它们通常不适用于 Python。
作为 Anaconda 持续致力于使开源软件包安全用于商业用途的一部分,我们很高兴地宣布,conda-forge 软件包的常见漏洞和披露 (CVE) 关联功能现已有限发布,并将很快全面提供给 Anaconda 安全产品 安全产品 的客户。
作为 Anaconda 存储库的维护者和管理者,我们对 Python 和 R 开源生态系统非常熟悉,并根据我们自己的构建和测试标准,在我们私有的基础设施上编译所有软件包。除了提供精心策划的 CVE 数据外,我们还提供 CVE 关联等工具来帮助您将易受攻击的软件包排除在开源管道之外。
结合 Anaconda 强大的 CVE 策划功能,conda-forge CVE 关联功能为用户提供了对其 conda-forge 软件包安全性的洞察,使团队能够做出明智的安全决策,更好地管理供应链中的漏洞,并最终获得更多内部控制,最大程度地降低任何安全风险。
继续阅读以详细了解 Anaconda 的 CVE 策划和 conda-forge CVE 关联功能的工作原理。
Anaconda 的 CVE 策划工作如何进行?
对于我们存储库中的软件包,Anaconda 手动策划 国家标准与技术研究院 (NIST) 和国家漏洞数据库 (NVD) 的 CVE。Anaconda 的专业策划团队会审查标记的软件包,验证特定 CVE 影响哪些软件,并策划 CVE 状态和分数。Anaconda 的策划功能使组织能够信任 CVE 分数,并根据状态和通用漏洞评分系统 (CVSS) 轻松过滤 CVE,从而仅允许通过内部安全策略的软件包进入工作流程。查看 有关 Anaconda CVE 策划的资源 以了解更多信息。
conda-forge 软件包的 CVE 关联功能如何运作?
您现在能够查看哪些 CVE 与已镜像到您的安全存储库的 conda-forge 软件包相关联。这使您能够查看报告给 NIST 的 CVE,以便您对 conda-forge 通道应用策略,过滤掉易受攻击的软件包并确保供应链安全。凭借对 conda-forge 软件包安全性的额外洞察力,您的团队可以移除任何不符合组织使用标准的 conda-forge 软件包。
开始使用 Anaconda 和 CVE 关联功能
Anaconda 为 conda-forge 软件包提供的 CVE 策划和关联功能提供可操作且有意义的 CVE 报告,以便企业团队能够优化其开源软件使用情况,从业人员能够专注于构建模型,而不是 IT 管理方面的担忧。 联系我们 今天了解更多信息。
