Endor Labs

セキュリティ

OpenClaw の Neotask を通じて、オープンソースの依存関係のリスクとソフトウェア サプライ チェーンのセキュリティを管理します。会話を通じて Endor Labs の洞察を得ることができます。

• プロジェクト全体の脆弱な依存関係、到達可能性分析結果、修正推奨事項を照会
• Endor Labsコンソールを操作せずに会話でオープンソースライセンスコンプライアンスとポリシー違反を追跡
• 理論的なCVE深刻度だけでなく実際の到達可能性に基づいて優先度付けされた修正リストを取得

あなたにできること

脆弱な依存関係のクエリ

Neotask に、プロジェクトの依存関係内のすべての重大な脆弱性を表示したり、到達可能な CVE と到達不可能な CVE でフィルターしたり、特定のパッケージ バージョンに Endor Labs の既知の脆弱性があるかどうかを確認したりするよう依頼します。

到達可能性ベースの優先順位付けを取得する

従来の SCA ツールとは異なり、Endor Labs は脆弱なコード パスがアプリケーション内で実際に到達可能かどうかを判断します。 Neotask に、到達可能な重要な CVE のみを表示するように依頼して、実際に重要なことに集中できるようにします。

ライセンス準拠を確認する

Neotask に、プロジェクト内の GPL、AGPL、またはその他の制限付きライセンスを持つすべての依存関係を一覧表示するか、ポリシー違反を特定するか、特定のリポジトリのライセンス インベントリを取得するように依頼します。

依存関係のバージョンと更新を追跡する

Neotask に、どの依存関係が大幅に古くなっているのか、どの依存関係に利用可能なセキュリティ パッチがあるのか​​、または特定の脆弱なパッケージのアップグレード パスを示すように依頼してください。

サプライチェーンのリスクを監視する

Neotask に、特定のパッケージのサプライ チェーンの健全性スコアを評価したり、依存関係に最近疑わしいアクティビティがあるかどうかを確認したり、メンテナンス スコアの低いパッケージを特定したりするよう依頼します。

聞いてみてください

「メイン アプリケーション プロジェクトで到達可能なすべての重要な CVE を表示します」

「プロジェクト内のどの依存関係に GPL ライセンスがあり、ポリシーに違反する可能性がありますか?」

「私のすべての Endor Labs プロジェクトにおける現在の脆弱性の数は何ですか?」

「lodash 4.17.20 は、私たちが実際に使用しているものに対して脆弱ですか?」

「現時点で私のプロジェクト内で最もリスクの高い依存関係のトップ 5 は何ですか?」

プロのヒント

重大度よりも到達可能性 — 常に最初に到達可能な結果によってフィルタリングします。 Endor Labs のコール グラフ分析は、アプリケーションが決して実行しないコードに影響を与える誤検知 CVE の大部分を排除します。

修正グループ — Endor Labs は修正に関連するグループをグループ化しているため、1 つの依存関係をアップグレードすると複数の CVE が解決されます。必要なアップグレードの数を最小限に抑えるために、修正を計画する前に修正グループを表示してください。

コードとしてのポリシー — Endor Labs は、ライセンスおよび脆弱性ルールのコードとしてのポリシーをサポートしています。現在のポリシー構成を監査し、次回の監査の前にギャップを特定します。

SBOM の生成 - 顧客または企業の購入者がソフトウェア構成データを要求したときに、プロジェクトの SBOM を生成します。 Endor Labs は、SPDX または CycloneDX 形式の出力を生成できます。