您的组织是否认真对待第三方依赖的安全性?您的 CISO/SecOps 团队是否向您询问有关开源健康状况的问题?您的应用程序环境的复杂性是否让您难以理解哪些模块、小部件、Java 库在哪里使用?那么,请继续阅读!
Mendix 自豪地宣布 软件组成的全面可用性,这是一项新发布的功能,可提供应用程序和应用程序环境组件依赖关系的准确清单。软件组合是改善安全态势的基本构建块。
Mendix 应用程序的剖析
让我们从基础开始。 Mendix 开发者创建页面、域模型、微流、纳米流、自定义模块等来构建 Mendix 应用程序。这被称为 Mendix 模型。 Mendix 如果需要,可以使用自定义 Java 和 Java 脚本扩展模型。所有这些都由应用程序制造商构建,并标记为 黑色如下图所示。
当使用自定义Java或JavaScript扩展Mendix模型时,可以将Java库和npm包添加到Mendix应用程序中。 Mendix 市场中的模块和小部件等预构建、可重复使用的组件也可用于为您的应用程序充电。最后,正确的 Mendix 运行时版本将帮助运行应用程序。所有这些都是第三方依赖关系,如下图 蓝色所示。这些第三方依赖关系可以通过 Mendix、其社区或其合作伙伴来维护。
挑战
随着时间的推移,第三方依赖项可能会变得弃用、过时、易受攻击或不再受欢迎,这取决于您的企业质量和安全规则。因此,了解这些第三方依赖项是有效管理应用程序环境质量和安全性的关键。
随着架构中应用程序数量的增加,这种需求变得更加明显。查看应用程序架构组件的中心位置对于管理架构安全风险至关重要。
软件组合简介
为了实现这种可见性, Mendix 将 生成软件物料清单 (SBOM)。SBOM 是一个以 Cyclone DX 格式创建的 .json 文件,它总结了软件中使用的第三方依赖项。SBOM 将由标准市场模块、小部件、java 库、npm 库和运行时版本组成,具体取决于 支持Studio Pro版本. SBOM 可以使用以下方式生成 构建.
Mendix 将自动为 Studio Pro 版本 9.24.22 及以上、10.6.9 及以上和 10.10.0 及以上版本的新部署包生成 SBOM,适用于免费云、公共云和云专用部署模型,并提供下载。
但不用担心,您无需解析 .json 文件即可获得可见性。您可以在 控制中心和 Mendix 门户网站的组合页面上以易于使用的方式轻松查看SBOM内容。在控制中心,软件组合可见性贯穿整个应用程序环境。在Mendix Portal中,可见性是针对每个应用程序的。
在控制中心的软件组成页面上,您可以执行以下操作:
- 查看各应用环境的软件组成
- 下载 SBOM 或通过 Excel 导出
- 查看应用程序环境中使用的所有独特组件的列表。对于每个组件,还可以查看使用它的应用程序和环境的数量。
类似可见性 Mendix 门户。每个新部署包的软件组成都可用。与组件依赖关系和其他改进相关的可操作见解即将推出,敬请期待。请关注发行说明 控制中心 和 Mendix 门户网站 了解有关未来改进的更多信息!
现在就开始!
兴奋吗?以下是一些实用的入门技巧。
确保满足先决条件
软件组成可见性适用于 9.24.22 及以上版本、10.6.9 及以上版本以及 10.10.0 及以上版本,适用于免费云、公共云和云专用部署模型。新创建的部署包将在软件组成页面上具有 SBOM 和相关可见性。要获得软件组成可见性,请确保根据需要升级 Studio Pro 并创建新的部署包。
检查漏洞并确定其影响半径
Mendix 发布安全公告 对其组件进行攻击。检查“软件组成”页面上的“所有组件”选项卡,查看您是否正在使用易受攻击的组件并确定其影响半径。
例如,我们为忘记密码模块发布了 安全公告 CVE-2023-27464(满分 10 分,得分为 5.3 分)。在“所有组件”选项卡上,您可以确定使用“忘记密码”模块的应用程序数量。您还可以查看有关使用应用程序的其他详细信息,例如应用程序名称、受影响的环境、技术联系人等。使用此信息来分析漏洞的影响半径。然后建议受影响的团队采取安全公告中列出的补救措施。
监控质量和安全准则的遵守情况
您可能有关于使用哪些组件的企业指南。(例如,不应使用不允许的许可证类型的组件)。了解您的应用程序和应用程序环境清单是检查是否符合此类规则的第一步。
所以不要等待,立即开始,轻松管理安全风险。提高对软件组合发布的认识,以真正了解您的软件组合清单!