四冒险opérationnels à我不知道

Les risques reconnaissanceDans votre chaîne d'approvisionnement de logicielsne peuvent pas tous être identifiés par leurs vulnérabilités connues enregistrées comme CVE。Un composant obsolète ou inactif peut présenter des risques pour votre application que personn jugé bon d'étudier。Pourtant, ces composants peuvent présenter des threats。

Les développeurs et équipes de sécurité doivent également pouvoir identifier et évaluer Les risques opérationnels des composants;des logiciels开源qun 'ont pas de CVE enregistré mais qui peuvent tout de même mettre en danger votre organisation。

四个危险因素opérationnels

Afin de protégerEntièrement选民chaîne d'approvisionnement de logiciels，你的四个危险因素开放源码opérationnels你的组合方法:

生活的结局

Si l'auteur d'un composant a déclaré que ce dernier est en fin de vie, le risque est alors élevé et cet auteur derait y prêter注意。

La même règle s'applique si le composant est considéré comme obsolète。Même si le logiciel开放源代码继续功能，une négligence意图的意义，que les éventuelles vulnérabilités n'y sont plus activement surveillées。Et même si des failure de sécurité sont repérées, auune nouvelle version en vue de les corriger ne sera publiée。

日期版本

Un code obsolète tend à être moins sécurisé。Si le composant est ancien, même Si sa dernière version est disponible, vous ne pouvez pas profiter de toutes dernières améliorations, et ses dépendances peuvent gendrer des problèmes de sécurité。

加上le code est ancient，加上le risque est important。青蛙之家，老乡之家，10个月的时间，是créée 20个月的时间，représente不健康;à l'inverse, des versions datant de 3 ans (40 mois) sont estimées à haut risque。

Mise à Jour de la Version

霍尔姆斯quelques例外，vous devriez toujours essayer d'utiliser la dernière version d'un composant pour bénéficier des nouvelles améliorations。Cela vous permettra d'éviter toute vulnérabilité侦察dès la première出版。

La première ou deuxième出版物d'une version d'un composant ne comporte pas de risque réel。复仇，有伤的增强manière相称的不正常的版本obsolètes。Un composant possédant四版加récentes peut représenter Un risque moyen, tandis qu'un composant en retard de六版ou加présente Un risque élevé。

Intégrité du Projet

Un bon project开源est issu d'une communauté saine;D 'ailleurs, le haut niveau D 'activité这是为国家做出贡献的一部分。Un composant qun 'est pas fréquemment mis à jour et qui est géré par une seule personne bénéficiera pas du même niveau d'amélioration，监督和警惕。La situation est pire encore pour un project qui a été apparment abandonné。

Les projets de logiciels open source relent sur une communauté engagée et active de développeurs qui cherchent à丰富我们的知识和潜力。这个项目Kubernetes，举例来说，有3 100个对新三件事物的产生产生影响的人和对其他事物的纠正产生影响的人。

语音指示clés à prendre en considération lorsque vous évaluez l'intégrité d'un项目:

• 节奏des版本: UN project à l'intégrité minimale devrait fournir au moins 2个版本en disponibilité générale (une nouvelle version ou UN correctif) par an。L'intégrité d'un projet avec une seule version chque année, voire aucune, devrait être considérée comme compromise。

• 频数d 'engagement:联合国项目的saindevrait编译器加上100次交战。En-deçà， ce project devrait être considéré comme non sain。

• Contributeurs annuels: le project devrait comptabiliser au moins cinq contributeurs différents par an afin d'être considéré en tant que project à l'intégrité minimale。Un nombre inférieur这是一个神圣的计划。

Augmentez Vos opportunities

最重要的de détecter les risques opérationnels dans votre chaîne d'approvisionnement de logiciels dans vos实际DevSeOps．鉴定外vulnérabilités矛盾和政治conformité à许可证，le contrôle风险opérationnels命名法逻辑Permet de compléter une posture de sécurité详尽。

分析合成逻辑(SCA)de JFrog x射线vous facilite la tâche。荒诞的vosPolitiques en matière de sécurité et de licence， vous pouvez政治配置者matière de risques opérationnelsAfin de spécifier vos研究。

Vous pouvez utiliser les défaillance en matière de风险最小的青蛙afin de gérer自动化la gravité des风险因素opérationnels ou spécifier vos seuils。

你受命了某些监督政治concernant des dépôts clés, x射线détectera les composants quont causé une违例afin que vous puissiez prendre des measures。

Vous voulez en savoir plus ?Demandez une démo de x射线．