.png)
Mend.io(原名WhiteSource)
开源组件扫描和管理
AppSec平台
艾体宝Mend是全球首个支持开源及自定义代码漏洞自动修复的平台,集AI安全检测、SCA开源组件管理和SAST代码扫描功能于一体。依托全球领先的漏洞数据库与可达性分析技术,减少85%的无效告警,并支持一键自动生成修复PR。提供标准化SBOM报告,满足软件供应链安全合规要求。
开源漏洞现状
企业应用程序超过95%采用开源组件协助项目开发
86%的开源组件漏洞可能因黑客攻击导致大量个人信息泄露
截至2019年,开源组件漏洞数量高达50万个
67%的应用程序含有已知的开源漏洞
截至2023年,全球开源软件仓库下载量已达31万亿次,针对开源软件仓库的恶意攻击激增633%
开源许可证多达2300种,多数企业不清楚是否违反GPL/AGPL协议,甚至有一半的开源项目使用GPL授权方式
2019年开源组件被通报的漏洞数量创历年新高,增速接近50%
在最受欢迎的100个开源项目中,有32%的项目存在漏洞风险
近40%的开发人员每月花费20~60小时处理开源漏洞
为什么开源组件需要管理
开源组件为什么难以管理?
- 企业永远无法准确掌握自身系统中使用了多少开源组件
- 当开源组件出现重大漏洞时,需耗费大量人力处理,人工审查还可能出现遗漏
- 使用的开源组件是否具备版本管理?是否符合公司政策及 License 合规要求?
采用系统化风险管控工具管理开源组件的优势:
- 通过工具整合CI/CD开发流程,尽早管控并清点风险来源
- 依据公司安全政策建立预警机制,实时获取漏洞信息更新
- 自动比对追踪多个国际漏洞数据库,提供开源软件安全风险(Security Risk)和授权风险(License Risk)的完整信息
- 全面掌握开源组件潜在问题,为企业风险管控做好充分准备
Mend 功能模块
Mend 产品优势 - 专注修复而非发现漏洞
Mend 产品优势
专注修复而非发现漏洞
全球领先的漏洞数据库
- 覆盖2.7亿开源组件和130亿文件,提供全面的威胁攻击向量监测;
- 支持200多种编程语言和300多万个组件,每日多次整合包括NVD、安全公告和开源项目跟踪器在内的多源信息;
- 涵盖国际主流开源项目(如来自GitHub、Maven Central, npmjs等)的漏洞和许可协议。
基于可达性分析的优先级
Mend 会分析漏洞代码是否真正被你的项目调用。如果漏洞函数从未被执行,则风险等级会大幅降低。依托全链路分析将安全警报减少85%,避免了“警报疲劳”,让安全团队优先处理真正有风险的漏洞。
而许多工具仅根据通用漏洞评分系统(CVSS)分数进行排序,但一个CVSS 9分的漏洞如果未被调用,其实际风险可能远低于一个被调用的CVSS 7分漏洞。
一键式自动修复
Mend 不仅是告诉你“有漏洞”,而是直接在你的代码仓库(GitHub, GitLab, Azure DevOps等)中自动创建一个修复性的拉取请求(PR),这个PR包含了升级到安全版本的所有更改。开发者只需审查和合并即可。
丰富的软件物料清单(SBOM)
Mend 能轻松以多种标准化格式(SPDX、CycloneDX)导出您的 SBOM报告并导入第三方 SBOM,同时利用 VEX 数据通过 AI 透明度满足政府和客户的要求。这对于满足软件供应链安全合规(如NTIA、CISA、FDA等要求)至关重要。报告可视化强,能清晰展示依赖关系链。
业界公认 AppSec 领导者
连续六年被 FORRESTER 评选为管理工具领导品牌
新闻资讯
集成国际主流开源工具
