WhiteSource推出免费开源的漏洞检查工具

安全和许可证合规性管理解决方案提供商WhiteSource推出了Vulnerability Checker，这是一款新的、免费的、独立CLI工具，能够针对严重的开源漏洞发出警报。

Vulnerability Checker桌面应用程序可以直接从WhiteSource网站上下载，用户可以用它导入和扫描任何库，并可以在选定的开发项目中检查上个月的50大漏洞。如果扫描的库中有任何开源组件包含上个月披露的顶级开源安全漏洞中的一个或多个，Vulnerability Checker就会发出警报。

每个月，开源社区贡献者和研究人员就会发布许多在开源项目中发现的新安全漏洞。在其“顶级开源安全漏洞”报告中，WhiteSource研究团队就会概要介绍过去一个月中对用户影响最大的漏洞，帮助促进开源安全性和遵从性。WhiteSource新推出的Vulnerability Checker会同步其研究团队的月度报告，检测用户项目中的所有开源组件，如果检测到任何月度顶级漏洞，就会发出警告。

InfoQ采访了WhiteSource联合创始人兼首席执行官Rami Sass，进一步了解这款新工具。

InfoQ：这项服务之前是怎么收费的？

Sass：Vulnerability Checker是WhiteSource推出的一项全新服务。

InfoQ：WhiteSource在选择50大漏洞时是如何排定漏洞优先级的？

Sass：我们基于CVSS分值（漏洞严重性）以及开源社区提供/建议的修复方法来排定所有开源漏洞的优先级。50大开源漏洞的选择是研究团队基于它们对我们来自各种领域、规模大小不一的500多个客户的影响。我们计算每个漏洞出现的次数，并根据现在变得易受攻击的项目数量来评级。

InfoQ：这里说的“实时”是什么意思？

Sass：应用程序会在几分钟内向用户提供他们的产品中包含什么漏洞的信息。该信息会根据7月1号到7月31号之间报告的所有漏洞保持最新，并且包含此次发布之前（8月8日）所有可用的补丁。今后，该信息将会每月更新，根据上个日历月的50大漏洞，为用户提供最准确的漏洞信息。

InfoQ：WhiteSource提供开源漏洞扫描之外的服务吗？

Sass：是的，我们帮助开发团队保护和管理他们软件中的开源组件。除了开源漏洞检测和修复外，WhiteSource还会自动化开源组件选择、审批、跟踪的全过程，并自动化开源合规性的全过程。

InfoQ：WhiteSource集成了什么源代码控制工具或CI工具或DevOps工具链的其他部分吗？

Sass：完整的WhiteSource解决方案，不是这个免费工具，集成了软件开发生命周期（SDLC）中的所有开发工具，包括库、构建工具、包管理器、CI服务器，甚至问题跟踪系统。我们提供插件，集成所有常见的开发工具，每次你执行构建或进行提交，我们的插件会计算一个数字签名，然后和我们的数据库相参照，检测所有的开源组件，包括所有的依赖。一旦检测到这个组件，我们就会获取所有关于安全、质量和许可的信息。

InfoQ：发出的警报什么样？有关问题的性质及修复步骤，该工具向用户提供了多少细节？

Sass：在扫描完用户请求扫描的库之后，Vulnerability Checker会显示在软件及其路径中检测到的所有漏洞，说明哪个库包含哪个漏洞。我们还会显示CVSS 3.0分值，提供参考链接，甚至是根据开源社区提供修复建议。在完整的WhiteSource平台中，我们会提供进一步的信息，说明你是否实际调用了存在漏洞的功能，并提供完整的堆栈分析，从而为用户提供见解，使他们可以更快地修复所有已知的漏洞（而不只是上个月的50大漏洞）。WhiteSource会自动化从选择过程到审批过程再到实时查找和修复漏洞的整个开源组件管理过程。这是一项SaaS服务，根据做出贡献的开发者，即从事相关应用程序开发的开发人员数量，按年收费。对于开源项目，我们免费提供整个平台的服务。

InfoQ：该工具的典型用户是谁？

Sass：这款免费工具是为开发人员、DevOps团队及安全专家而设计的，但是，任何人，如果希望检查他们的代码库是否包含上个月的50大漏洞中的一个，就可以使用这个工具。

InfoQ：您能给我们介绍下WhiteSource研究团队的更多信息吗？

Sass：WhiteSource团队十分信任开源社区。我们相信，社区在保护和管理开源项目方面做了了不起的工作，尤其是过去的两年中，人们对于开源安全的意识在提升，2017年，通用漏洞披露中的漏洞数量超过了两倍就是证明。这个问题源于开源安全信息分散在许多数据库中，而大部分又没有恰当的索引，使得用户无法获取这些信息。这就是我们的研究团队重点关注的地方。我们的研究团队包含来自以色列和波士顿的18名研究人员和数据分析师。团队的工作重点是查找新的开源安全信息源，为这些信息源建立索引，充实这些数据并验证。我们开发了专有算法，用于聚合信息并自动评分，但是，为了兑现我们向客户做出的零错误承诺，每个漏洞的验证是由我们的研究团队手动进行的。

感兴趣的读者可以从这里下载WhiteSource Vulnerability Checker。