Mend.io 是什么？

Mend.io，前身为 WhiteSource，是一个企业级应用程序安全平台，旨在帮助组织管理开源软件的风险。它自动化了保护您的软件供应链的整个过程，从检测依赖项中的漏洞到提供自动修复。通过无缝集成到 DevOps 流程中，Mend.io 允许开发团队在不牺牲速度和敏捷性的情况下构建安全的软件。其核心使命是提供一个涵盖软件成分分析 (SCA)、静态应用程序安全测试 (SAST) 甚至 AI 生成代码中新兴风险的全面解决方案。

主要功能

• 软件成分分析 (SCA): 自动检测您项目中的所有开源组件及其传递依赖项。它识别已知的漏洞，提供详细的风险报告，并根据严重性对问题进行优先级排序。
• 自动修复: Mend.io 不仅能发现问题，还能解决问题。它可以生成包含建议修复的拉取请求，将易受攻击的库升级到安全版本，从而大大减少修补系统所需的人工工作。
• 许可证合规性管理: 该平台识别每个开源组件的许可证，使您能够执行策略并避免与许可证违规相关的法律风险。
• 静态应用程序安全测试 (SAST): Mend SAST 扫描您的专有代码以查找安全弱点，直接在开发人员的工作流程中提供快速准确的结果，以防止漏洞进入生产环境。
• CI/CD 和存储库集成: Mend.io 与各种开发人员工具集成，包括 GitHub、GitLab、Bitbucket、Jenkins 和 Azure DevOps，将安全检查直接嵌入到您现有的工作流程中。

使用案例

• 实施 DevSecOps: 在您的 CI/CD 管道中嵌入自动化的安全门，以确保在部署前扫描所有代码以查找漏洞。
• 管理软件供应链安全: 全面了解您的软件组件，以防范供应链攻击，并确保所有依赖项都是安全和合规的。
• 漏洞优先级排序和管理: 通过使用 Mend.io 基于风险的优先级排序，将开发工作集中在最关键的安全问题上，该排序考虑了漏洞严重性、可利用性和业务影响等因素。
• 并购尽职调查: 快速评估第三方代码库的安全状况和开源风险。

入门指南

开始使用 Mend.io 通常涉及使用其统一代理或 CLI 来扫描项目。这是一个使用 Mend CLI 的概念性“Hello World”示例。

首先，您通常需要安装 CLI。确切的命令可能会有所不同，但通常是一个简单的脚本下载：

```bash

示例安装命令（请参阅官方文档以获取最新版本）

curl -sSL https://downloads.mend.io/cli/install.sh | sh

接下来，您将使用您组织的凭据配置 CLI，这通常涉及一个 API 密钥：

```bash

使用您的服务用户密钥和 URL 配置 CLI

export MEND_URL=https://saas.mend.io export MEND_USER_KEY=xxxxxxxxxxxxxxxx export MEND_API_KEY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

最后，您可以在您的项目目录上运行扫描：

```bash

导航到您的项目根目录

cd /path/to/your/project

运行扫描

mend sca

扫描完成后，结果将上传到您的 Mend.io 仪表板，您可以在其中查看有关漏洞、许可证和建议修复的详细报告。

定价

Mend.io 使用基于订阅的定价模型，主要基于贡献开发者的数量。这种方法提供了对完整 AppSec 平台的访问，包括 SCA、SAST 和容器安全，对应用程序或扫描的数量没有限制。定价通常是为企业需求定制的，因此潜在客户通常需要联系销售团队获取报价。