最好的免費開源供應鏈安全工具:鎖定檔案版本 - r2c
鎖定檔案是依賴清單的“編譯”版本。它指定安裝的每個依賴項的確切版本。一個好的鎖檔案格式遞迴地指定依賴關係的所有依賴關係。一些鎖檔案還為依賴二進位制檔案或源指定了一組允許的 SHA 雜湊值(請參閱後面的文章,哪些鎖檔案支援這種額外的特異性級別)。
例如,在 Python 中,Pipfile.lock 中相應的鎖定檔案條目可能如下所示:
"click": { "hashes": ["sha256:353f466495adaeb40b6b5f592f9f91cb22372351c84caeb068132442a4518ef3", "sha256:410e932b050f5eed773c4cda94de75971c89cdb3155a72a0831139a79e5ecb5b"], "index": "pypi", "version": "==8.0.3" }, |
沒有鎖檔案,你不知道:
- 實際安裝了哪些版本的依賴項
- 它們的安裝位置
- 依賴版本或內容何時更改
知道這些會阻止您透過依賴項被駭客入侵嗎?預防角度有限,但有一個小好處:只需信任第一次使用(TOFU)。您可以免受相同版本的軟體包的靜默更新。
更大的好處是響應供應鏈中的事件。使用內容雜湊鎖定檔案,您可以推斷您是否受到漏洞/惡意程式包的影響,而不必根據版本或範圍說明符進行猜測,因為構建環境是確定性和可重現的。
相關文章
- 【推薦】最好用的免費安全工具!
- 工具推薦:開源免費的檔案備份恢復工具:Kopia
- 再談“開源軟體供應鏈安全”
- 推薦10款最好的免費專案管理工具專案管理
- 鎖定專案的 node 版本
- 最好的且免費專案管理軟體專案管理
- 免費好用的開源威脅狩獵工具!
- 軟體供應鏈安全
- 【供應鏈】供應鏈的底牌
- openEuler高琨:積極推動開源合規 助力供應鏈安全
- 開源=免費?
- 聚合供應鏈系統開發方案(供應商鏈)
- 免費開源Blazor線上Ico轉換工具Blazor
- 最好用的開源日誌分析工具
- 開源/免費的敏捷工具:Scrum團隊的增效秘訣敏捷Scrum
- 基於 go 語言開發部署的部落格 免費開源供參考Go
- 你還在尋找Navicat的破解版本?你應該瞭解開源免費的DBeaver
- 使用Spring Boot開發的10個免費開源專案Spring Boot
- 資深專案經理推薦的幾款免費/開源專案管理工具專案管理
- Kubernetes 時代的安全軟體供應鏈
- 節省50%人工錄入時間!免費開源AI工具讓法律檔案資料提取更高效AI
- CNCERT:2021年開源軟體供應鏈安全風險研究報告(附下載)
- 分享 6 款用於管理Docker容器的免費開源工具Docker開源工具
- 免費開源的程式碼審計工具 Gosec 入門使用Go
- 使用Spring Boot的10多個免費開源專案Spring Boot
- 開源免費的建站系統
- 免費的中文版線上檔案傳輸工具都有哪些?
- 免費的FTP工具,免費的FTP工具下載!FTP
- 貨源供應鏈管理系統案例
- 推薦一款穩定快速免費的前端開源專案 CDN 加速服務前端
- 這19款最好用的免費安全工具,使用不當或許面臨牢獄之災。
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 統信劉聞歡:開源作業系統供應鏈安全要從“根”上做起作業系統
- 微軟免費工具集 PowerToys版本已更新!微軟
- 一款免費開源的線上圖片壓縮工具
- .Net 7 被Microsoft的開源免費PowerToys工具獨立附帶ROS
- 開源免費 PDF 工具集 | Stirling-PDF v0.29.0
- 聚合供應鏈管理系統開發結構(電商供應鏈)