Software Composition Analysis

Sachez quelles dépendances vulnérables méritent vraiment une action.

La plupart des projets embarquent des centaines de dépendances vulnérables. La plupart ne présentent pas de risque immédiat. Lumstep utilise OSV-Scanner contre les bases OSV et NVD, puis enrichit chaque résultat avec les flags CISA KEV et les scores EPSS - pour savoir quels CVE sont activement exploités et quelle est la probabilité que le vôtre soit ciblé. Le résultat est une liste classée qui vous dit ce qu'il faut corriger ce sprint. Pour les alertes corrigeables, Lumstep ouvre la pull request.

lodash@4.17.20
CriticalKEV
Pollution de prototype - exécution de code distante via une charge utile forgée
axios@0.21.1
High
Vulnérabilité SSRF - validation d'URL insuffisante
minimist@1.2.5
Medium
Pollution de prototype - contournement de l'analyse des arguments

Software Composition Analysis

Comment fonctionne l'analyse de dépendances Lumstep

Connectez votre dépôt une fois - Lumstep s'occupe du reste à chaque push, sans configuration CI.

Sources de détection
Base OSVBase de vulnérabilités open source
Vérifié
NVDNational Vulnerability Database
Vérifié
CISA KEVKnown Exploited Vulnerabilities
Enrichi
EPSSScore de prédiction d'exploit
Enrichi
Sources croisées4 sur 4 actives →
À chaque push

Analyse complète de l'arbre de dépendances

À chaque push, Lumstep résout votre graphe de dépendances complet - directes et transitives - et vérifie chaque package dans les bases OSV et NVD.

express@4.17.1
High
Dépendance directe - redirection ouverte dans l'analyse de requête
qs@6.5.2
Medium
Dépendance transitive (via express) - pollution de prototype
Automatique

Enrichissement par la threat intelligence

Chaque CVE est croisé avec la liste CISA KEV et reçoit un score EPSS, puis classé selon l'exploitabilité, la profondeur directe/transitive et la sévérité.

Signaux d'enrichissement
Flag CISA KEVConfirme une exploitation active dans la nature
Appliqué
Score EPSSProbabilité d'exploitation sous 30 jours
Appliqué
Profondeur de dépendancePondération directe / transitive
Appliqué
Signaux de classement3 facteurs combinés →
Instantané

PR de correction ou alerte tableau de bord

Pour les alertes avec un chemin de mise à niveau propre, Lumstep ouvre une pull request automatiquement. Pour les autres, les résultats sont classés dans votre tableau de bord avec le contexte.

Résultat par alerte
lodash 4.17.20Chemin de mise à niveau propre vers 4.17.21
PR ouverte
axios 0.21.1Mise à niveau majeure vers 1.7.4
Alerte tableau de bord
Ce scan1 PR ouverte, 1 signalée →
Des résultats classés, pas une liste interminable

Priorisé par risque réel

Chaque résultat est croisé avec la liste CISA KEV et pondéré par l'EPSS (probabilité qu'un CVE soit exploité dans les 30 prochains jours). Une dépendance directe avec un flag KEV remonte en tête. Une dépendance transitive avec un EPSS à 0,1 % ne le fait pas.

Classement par priorité
lodash 4.17.20Directe · flag KEV · EPSS 94 %
À corriger
minimist 1.2.5Transitive · sans KEV · EPSS 0,1 %
Priorité basse
Classé parKEV, EPSS, profondeur →
Des résultats classés, pas une liste interminable

PRs de correction ouvertes automatiquement

Quand une dépendance vulnérable dispose d'un chemin de mise à niveau sûr, Lumstep calcule la version cible et ouvre une pull request avec le diff et l'explication du choix de version. Vous relisez et mergez - rien n'est appliqué automatiquement.

Contenu de la pull request
Diff de versionpackage.json et lockfile mis à jour
Inclus
JustificationPourquoi cette version a été choisie
Inclus
Vous relisez, vous mergezRien n'est appliqué automatiquement →
Des résultats classés, pas une liste interminable

Sept écosystèmes couverts

npm, pip/Poetry, Maven/Gradle, modules Go, Cargo, NuGet et RubyGems sont tous supportés. Un seul scan couvre votre stack complet, y compris les monorepos polyglots.

Couverture des écosystèmes
npm / pip / PoetryJavaScript & Python
Supporté
Maven / GradleJava & Kotlin
Supporté
Modules Go / CargoGo & Rust
Supporté
NuGet / RubyGems.NET & Ruby
Supporté
Écosystèmes7 sur 7 couverts →
Des résultats classés, pas une liste interminable

Surveillance continue à chaque commit

Les scans se déclenchent à chaque push - pas de tâches planifiées à configurer, pas de délai entre un commit et la détection d'une nouvelle vulnérabilité.

Cadence de scan
Tâches planifiéesNon nécessaires
Aucune requise
DéclencheurChaque push, chaque branche
Automatique
Délai de détection0 - scan au push →

Identifiez vos dépendances à risque maintenant.

Accès anticipé gratuit. La correction automatique est disponible dès le premier scan.

Accès anticipé