FAQs
产品常见问题与回答
Mend.io(以前称为WhiteSource)是应用程序安全产品的制造商,可以毫不费力地保护开发人员创建的内容。 Mend.io 消除了应用程序安全的负担,使团队能够创建和交付高质量、安全的代码。
Mend 应用安全平台 包括 Mend SCA 和 Mend SAST。
我们的插件可与您的存储库、构建工具、CI 服务器等集成。它会计算所有组件的数字签名,而无需扫描代码。然后,它将数字签名与 Mend.io 数据库中的数字签名交叉引用,以检测产品中的开源组件。将立即生成最新报告,其中包含检测到的所有组件和问题。
如果已将 Mend SCA 与生成管道集成,则每次运行生成时都会生成报告。如果您已将 Mend SCA 与开发人员的存储库集成,则在编写和/或提交代码到存储库时,Mend SCA 会立即检测并显示漏洞。
我们的 SAST 产品使用混合架构。它会在本地扫描您的软件,因此您的源代码永远不会离开您的场所。分析、自动修复、报告和其他功能都在云中完成。这为您提供了两全其美的优势 — 本地扫描程序让您高枕无忧,无需管理或维护难题。
Mend.io 数据库是最大、最成熟的开源漏洞数据库。它包含超过 300,000 个易受攻击的组件,这些组件从 CVE/NVD 以及各种其他来源(如 GitHub 问题跟踪器、安全公告和开源项目问题跟踪器)聚合而来。
Mend.io 使用专有的专利算法,该算法在漏洞和受影响的版本之间进行匹配,从而保证不会浪费开发人员时间的误报。
是的,Mend.io 在整个软件开发过程中自动实施策略。您可以根据安全漏洞严重性、开源许可证类型、软件错误严重性、组件的使用年限等来定义策略。您可以根据您的条件和定义批准、拒绝、启动审批流或打开问题票证。
此外,Mend.io 还提供浏览器扩展,该扩展会在下载组件之前通知开发人员某个组件是否符合组织的策略。
我们提供各种报告,可帮助您监控所有开源活动,例如库存报告、尽职调查报告、高严重性错误报告、漏洞报告等等。
Mend SCA 的某些插件可以在隔离的环境中使用,方法是生成更新请求并将请求本地保存为文本文件。对于这些插件,稍后可以将文件移动到联机环境以进行自动或手动更新。