漫谈SDL之三方库漏洞检测与运营

漫谈 SDL 之三方库漏洞检测与运营

摘要

第三方组件具有开放、共享、自由等特性，在软件开发中扮演着越来越重要的角色，也是软件供应链的重要组成部分，它的使用大大提高企业中软件研发的效率、缩短上线时间，能有效降低开发成本。但这些组件，可能会存在一些安全问题，所以对开发使用的这些组件进行监控，是很有必要的。之前我们写过一篇文章《漫谈SDL之三方库漏洞检测与CICD》，文章介绍了如何在CI/CD流程中接入第三方组件漏洞检测工具。紧接上一篇文章，再介绍一下我们使用的检测工具的检测原理以及后续漏洞修复的运营工作。目前我们公司使用的是自研第三方组件检测工具，现在整个工具正处于起步阶段，所以这篇文章也是起到一个抛砖引玉的作用，欢迎大佬们来分享交流关于第三方组件漏洞检测工具的见解。