有关 Endor Labs 集成的常见问题

获取有关 Endor Labs 集成的常见问题的答案。

如何配置 Endor Labs？

Endor Labs 可以根据你的源代码管理环境，通过多种方法在存储库和管道中进行部署。 我们建议先从监视扫描入手，以获得初步的可见性，然后再推进到 CI 扫描，以实现全面且可操作的结果。

如何为 GitHub 环境配置 Endor Labs？

Endor Labs 通过 Endor GitHub Apps 为 GitHub 提供持续监视。 该应用通过每 24 小时克隆并扫描所有存储库，让你全面了解 GitHub 组织。

注意

存储库会被临时克隆，且仅在扫描期间保留。 可以参考 Endor Labs 文档，以获取为 GitHub 设置持续监视的帮助。

如何为 GitHub Workflows 配置 Endor Labs？

客户可以使用 Endor Labs Action 与 GitHub Workflows 进行集成。 工作流扫描有助于团队专注于最可操作的结果，从而优化他们的时间。 这些扫描可由自动化的 GitHub Workflows 触发，以与目标分支的基线相比，识别出新的漏洞。 参考 Endor Labs 的文档，以获取设置 Endor Labs Action 的帮助。

如何为 Azure DevOps 环境配置 Endor Labs？

Endor Labs 可在 Azure Pipelines 中实现，以便在构建时扫描漏洞。 这些扫描的结果也可发送至“高级安全性”以提供给开发人员查看。 请参阅 Endor Labs 文档，以获取 Azure Pipelines 集成设置方面的帮助。

如何为 GitLab 环境配置 Endor Labs？

Endor Labs 可以在 GitLab CI 管道运行期间，在代码构建完成后进行扫描以检查漏洞。 请参阅 Endor Labs 文档，以获取设置 GitLab CI 管道集成方面的帮助

如何查看 Endor Labs 扫描的结果？

Endor Labs 的可访问性分析结果与现有的 Defender 云安全态势管理 (CSPM) 体验（包括云安全资源管理器和攻击路径分析）进行了原生集成。

Endor Labs 支持哪些编程语言？

Endor Labs 的可访问性分析支持多种语言，包括 Java、Python 和 C#。 请参阅 Endor Labs 文档以获取最新的支持语言列表。 仅当相应的存储库也连接到 Defender for Cloud 时，才会显示来自 Endor Labs 的结果。

可访问性的不同级别意味着什么？

Defender for Cloud 会从 Endor Labs 引入与函数级和依赖项级漏洞可访问性相关的结果属性。 在组织的应用程序上下文中，函数级可访问性分析是确定可利用性的最准确方法，对于确定应修复哪些风险至关重要。 不同的函数可访问性标签包括：

• 可访问函数：Endor Labs 确定从开发人员编写的代码到有漏洞的函数之间存在一条路径，这意味着该结果在客户环境中是可利用的。 这通过一个“调用图”来展示，该调用图显示了源代码和有漏洞的库之间的每个步骤。
• 不可访问函数：Endor Labs 确定不存在被利用的风险，因为在源代码和存在漏洞的函数之间不存在路径。 结果会附带一个“调用图”，用以展示路径的缺失情况。 不可访问的结果可视为误报，在诸如 FedRAMP 等合规标准下，不需要对其进行修复。
• 潜在可访问函数：Endor Labs 无法确定一项结果是可访问还是不可访问，通常是因为对于给定的语言或包管理器，“调用图”分析不受支持。 Endor Labs 还会检查应用程序中是否使用了导入的包，但它不会显示源代码是否调用了有漏洞的包。 与之相关的不同标签如下：
• 可访问依赖项：Endor Labs 确定应用程序中的某处正在使用一个导入的包。
• 不可访问的依赖项：Endor Labs 确定未使用导入的依赖项。 客户可以利用此信息来移除依赖项，这对于减少技术债务的计划很有帮助。
• 潜在可访问依赖项：Endor Labs 无法明确确定一个依赖项是否正在被使用，通常是因为特定的语言或包管理器不受支持。

注意

“可访问性分析”可能有多种不同的含义。 详细了解五种可访问性分析（以及哪种适合你）。

如何获得 Endor Labs 许可？

Endor Labs 是基于每位有贡献的开发人员进行授权的。 查看 Endor Labs 定价选项。 Defender for Cloud 中的可访问性分析有两个适用计划，包括：

• Endor Supply Chain：用于开源依赖项管理、CI/CD 安全性以及合规性的单一平台。
• Endor Open Source - 核心版：先进的软件组成分析 (SCA) 和 SBOM 功能，包括具有可访问性的 SCA、Endor 评分因素、AI 辅助的 OSS 选择、DroidGPT、SBOM / VEX 生成。

需要额外修正功能的客户可以升级到专业版，该版本包括升级影响分析、容器扫描以及项目签名功能。

Azure 商业市场是否提供 Endor Labs？

是的，Endor Labs 可以在 Microsoft 商业市场上购买。 市场上列出的价格并不能反映你的组织实际支付的成本。 如果你通过市场进行注册，Endor Labs 代表会与你的组织合作，生成一份定制报价。 通过 Azure 商业市场购买的 Endor Labs 将计入最低 Azure 消耗承诺 (MACC)。

后续步骤

• 连接 Endor Labs

获取有关 Endor Labs 集成的常见问题的答案。

Endor Labs 可以根据你的源代码管理环境，通过多种方法在存储库和管道中进行部署。 我们建议先从监视扫描入手，以获得初步的可见性，然后再推进到 CI 扫描，以实现全面且可操作的结果。

Endor Labs 通过 Endor GitHub Apps 为 GitHub 提供持续监视。 该应用通过每 24 小时克隆并扫描所有存储库，让你全面了解 GitHub 组织。

注意

存储库会被临时克隆，且仅在扫描期间保留。 可以参考 Endor Labs 文档，以获取为 GitHub 设置持续监视的帮助。

客户可以使用 Endor Labs Action 与 GitHub Workflows 进行集成。 工作流扫描有助于团队专注于最可操作的结果，从而优化他们的时间。 这些扫描可由自动化的 GitHub Workflows 触发，以与目标分支的基线相比，识别出新的漏洞。 参考 Endor Labs 的文档，以获取设置 Endor Labs Action 的帮助。

Endor Labs 可在 Azure Pipelines 中实现，以便在构建时扫描漏洞。 这些扫描的结果也可发送至“高级安全性”以提供给开发人员查看。 请参阅 Endor Labs 文档，以获取 Azure Pipelines 集成设置方面的帮助。

Endor Labs 可以在 GitLab CI 管道运行期间，在代码构建完成后进行扫描以检查漏洞。 请参阅 Endor Labs 文档，以获取设置 GitLab CI 管道集成方面的帮助

Endor Labs 的可访问性分析结果与现有的 Defender 云安全态势管理 (CSPM) 体验（包括云安全资源管理器和攻击路径分析）进行了原生集成。

Endor Labs 的可访问性分析支持多种语言，包括 Java、Python 和 C#。 请参阅 Endor Labs 文档以获取最新的支持语言列表。 仅当相应的存储库也连接到 Defender for Cloud 时，才会显示来自 Endor Labs 的结果。

Defender for Cloud 会从 Endor Labs 引入与函数级和依赖项级漏洞可访问性相关的结果属性。 在组织的应用程序上下文中，函数级可访问性分析是确定可利用性的最准确方法，对于确定应修复哪些风险至关重要。 不同的函数可访问性标签包括：

• 可访问函数：Endor Labs 确定从开发人员编写的代码到有漏洞的函数之间存在一条路径，这意味着该结果在客户环境中是可利用的。 这通过一个“调用图”来展示，该调用图显示了源代码和有漏洞的库之间的每个步骤。
• 不可访问函数：Endor Labs 确定不存在被利用的风险，因为在源代码和存在漏洞的函数之间不存在路径。 结果会附带一个“调用图”，用以展示路径的缺失情况。 不可访问的结果可视为误报，在诸如 FedRAMP 等合规标准下，不需要对其进行修复。
• 潜在可访问函数：Endor Labs 无法确定一项结果是可访问还是不可访问，通常是因为对于给定的语言或包管理器，“调用图”分析不受支持。 Endor Labs 还会检查应用程序中是否使用了导入的包，但它不会显示源代码是否调用了有漏洞的包。 与之相关的不同标签如下：
• 可访问依赖项：Endor Labs 确定应用程序中的某处正在使用一个导入的包。
• 不可访问的依赖项：Endor Labs 确定未使用导入的依赖项。 客户可以利用此信息来移除依赖项，这对于减少技术债务的计划很有帮助。
• 潜在可访问依赖项：Endor Labs 无法明确确定一个依赖项是否正在被使用，通常是因为特定的语言或包管理器不受支持。

注意

“可访问性分析”可能有多种不同的含义。 详细了解五种可访问性分析（以及哪种适合你）。

Endor Labs 是基于每位有贡献的开发人员进行授权的。 查看 Endor Labs 定价选项。 Defender for Cloud 中的可访问性分析有两个适用计划，包括：

• Endor Supply Chain：用于开源依赖项管理、CI/CD 安全性以及合规性的单一平台。
• Endor Open Source - 核心版：先进的软件组成分析 (SCA) 和 SBOM 功能，包括具有可访问性的 SCA、Endor 评分因素、AI 辅助的 OSS 选择、DroidGPT、SBOM / VEX 生成。

需要额外修正功能的客户可以升级到专业版，该版本包括升级影响分析、容器扫描以及项目签名功能。

是的，Endor Labs 可以在 Microsoft 商业市场上购买。 市场上列出的价格并不能反映你的组织实际支付的成本。 如果你通过市场进行注册，Endor Labs 代表会与你的组织合作，生成一份定制报价。 通过 Azure 商业市场购买的 Endor Labs 将计入最低 Azure 消耗承诺 (MACC)。

后续步骤

• 连接 Endor Labs