最好的免費開源供應鏈安全工具:鎖定檔案版本 - r2c
鎖定檔案是依賴清單的“編譯”版本。它指定安裝的每個依賴項的確切版本。一個好的鎖檔案格式遞迴地指定依賴關係的所有依賴關係。一些鎖檔案還為依賴二進位制檔案或源指定了一組允許的 SHA 雜湊值(請參閱後面的文章,哪些鎖檔案支援這種額外的特異性級別)。
例如,在 Python 中,Pipfile.lock 中相應的鎖定檔案條目可能如下所示:
"click": {
"hashes": ["sha256:353f466495adaeb40b6b5f592f9f91cb22372351c84caeb068132442a4518ef3", "sha256:410e932b050f5eed773c4cda94de75971c89cdb3155a72a0831139a79e5ecb5b"],
"index": "pypi",
"version": "==8.0.3"
},
|
沒有鎖檔案,你不知道:
- 實際安裝了哪些版本的依賴項
- 它們的安裝位置
- 依賴版本或內容何時更改
知道這些會阻止您透過依賴項被駭客入侵嗎?預防角度有限,但有一個小好處:只需信任第一次使用(TOFU)。您可以免受相同版本的軟體包的靜默更新。
更大的好處是響應供應鏈中的事件。使用內容雜湊鎖定檔案,您可以推斷您是否受到漏洞/惡意程式包的影響,而不必根據版本或範圍說明符進行猜測,因為構建環境是確定性和可重現的。
相關文章
- 【推薦】最好用的免費安全工具!
- 再談“開源軟體供應鏈安全”
- 工具推薦:開源免費的檔案備份恢復工具:Kopia
- 10款中小企業必備的開源免費安全工具
- 推薦10款最好的免費專案管理工具專案管理
- 軟體供應鏈安全
- 開源=免費?
- 免費好用的開源威脅狩獵工具!
- openEuler高琨:積極推動開源合規 助力供應鏈安全
- 最好的且免費專案管理軟體專案管理
- 開源不是免費的
- 免費開源Blazor線上Ico轉換工具Blazor
- GitHub 上 10 款免費開源 Windows 工具GithubWindows
- 最好的開源報表工具
- 穩定軟體供應鏈的關鍵是僱傭開源維護者
- 開源是免費的,維護也是免費的
- 鎖定專案的 node 版本
- 聚合供應鏈系統開發方案(供應商鏈)
- 基於 go 語言開發部署的部落格 免費開源供參考Go
- 100個開源或免費的功能測試工具
- 開源/免費的敏捷工具:Scrum團隊的增效秘訣敏捷Scrum
- 你還在尋找Navicat的破解版本?你應該瞭解開源免費的DBeaver
- 聚合供應鏈管理系統開發結構(電商供應鏈)
- 開源免費的建站系統
- 微軟免費工具集 PowerToys版本已更新!微軟
- 免費開源的程式碼審計工具 Gosec 入門使用Go
- 14個超級牛X的免費開源小工具!
- 一款免費開源的線上圖片壓縮工具
- 分享 6 款用於管理Docker容器的免費開源工具Docker開源工具
- 最好用的開源日誌分析工具
- 資深專案經理推薦的幾款免費/開源專案管理工具專案管理
- 貨源供應鏈管理系統案例
- 免費的FTP工具,免費的FTP工具下載!FTP
- 12 個最好的免費網站速度和效能測試工具網站
- 免費的中文版線上檔案傳輸工具都有哪些?
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 聚合供應鏈管理中臺系統搭建開發(電商供應鏈)
- Kubernetes 時代的安全軟體供應鏈