Mend.io ​

開源元件掃描

管理 AppSec 平台

Mend 是全球首款同時支援開源與自有程式碼漏洞自動修復的平台,整合 AI 安全檢測、SCA 開源元件管理 與 SAST 程式碼掃描 功能於一體。

依托全球領先的漏洞資料庫與可達性分析技術,能有效減少 85% 的誤報與無效告警,並支援 一鍵自動產生修補 PR(Pull Request)。同時提供標準化 SBOM(軟體物料清單)報告,協助企業滿足軟體供應鏈安全與合規要求。

免費諮詢

開源漏洞現況

超過 95% 的企業應用程式使用開源元件協助開發

86% 的開源元件漏洞 可能在遭受駭客攻擊時導致大量個資外洩

截至 2019 年,已知的開源元件漏洞數量高達 50 萬個

約 67% 的應用程式 含有已知的開源安全漏洞

截至 2023 年,全球開源軟體套件庫的下載量已突破 31 兆次,
針對開源套件庫的惡意攻擊事件更激增 633%

目前開源授權類型多達 2,300 種,多數企業並不清楚自身是否違反 GPL/AGPL 等授權條款,甚至有超過一半的開源專案採用 GPL 授權方式,使合規管理風險日益升高

2019 年,開源元件被通報的漏洞數量創下歷年新高,年增率接近 50%

在最受歡迎的 100 個開源專案 中,有 32% 存在安全漏洞風險。

近 40% 的開發人員 每月需花費 20 至 60 小時處理與修補開源漏洞問題。

為什麼開源元件需要管理

開源元件為何難以管理?

  • 企業往往無法精準掌握自身系統中實際使用了多少開源元件。
  • 當開源元件出現重大漏洞時,必須投入大量人力進行修復, 而人工稽核過程也容易發生疏漏。
  • 所使用的開源元件是否具備完善的版本管理機制? 是否符合公司內部政策與 License 合規要求?

採用系統化風險管控工具管理開源元件的優勢

  • 透過工具整合 CI/CD 開發流程,提前掌握並控管潛在風險來源
  • 依據公司資安政策建立預警機制,及時掌握漏洞資訊更新
  • 自動比對與追蹤多個國際漏洞資料庫,提供完整的開源軟體安全風險(Security Risk)與授權風險(License Risk)資訊
  • 全面掌握開源元件的潛在問題,為企業的風險管理做好萬全準備

Mend 功能模組

Mend AI

與僅支援 AI 紅隊測試的工具不同,Mend 率先實現 AI 安全測試的全方位覆蓋。不僅能深入檢測 AI 生成內容的安全性,更具備 AI 元件識別 與 暴露等級評估 功能,可精準評估企業所使用 AI 元件的整體安全水準。

了解更多 →

Mend SCA

基於全球領先的漏洞資料庫,
結合 CVSS 4.0 與 EPSS 評估體系,量化漏洞影響與被利用機率,有效降低 85% 的安全告警,避免「警報疲勞」,讓團隊能聚焦於真正高風險的漏洞,確保軟體供應鏈的安全與合規。

了解更多 →

Mend SAST

Mend 可精準偵測超過 70 種 CWE 漏洞類型(涵蓋 OWASP Top 10 與 SANS 25),支援多種平台與框架開發的應用程式,掃描速度較傳統 SAST 解決方案快 10 倍。

了解更多 →

Mend 產品優勢
專注於修復,而非僅止於發現漏洞

全球領先的漏洞數據庫

  • 涵蓋 2.7 億個開源元件130 億個檔案,提供全方位的威脅與攻擊向量監測。
  • 支援超過 200 種程式語言300 萬個元件,每日多次整合來自 NVD、安全公告及開源專案追蹤器等多重來源資訊。
  • 資料庫覆蓋國際主流開源專案,包含來自GitHub、Maven Central、npmjs 等平台的漏洞與授權協議資訊,
    協助企業即時掌握開源風險動態。

基於可達性分析的優先順序

Mend 能分析漏洞程式碼是否實際被專案呼叫。若該漏洞函式從未被執行,其風險等級將大幅降低。透過全鏈路分析技術,可減少 85% 的安全警報有效避免「警報疲勞」,讓資安團隊能優先處理真正具風險的漏洞。

相較之下,許多傳統工具僅依據 CVSS(通用漏洞評分系統) 分數進行排序。但事實上,一個 CVSS 9 分 的漏洞若從未被呼叫,其實際風險可能遠低於一個被呼叫的 CVSS 7 分 漏洞。

一鍵式自動修復

Mend 除了告訴你「存在漏洞」,更能直接在你的程式碼儲存庫(如 GitHub、GitLab、Azure DevOps 等)自動建立修補用的 拉取請求(PR)

該 PR 會包含升級至安全版本所需的所有變更,開發者只需進行審查與合併,即可完成修復。

豐富的軟體物料清單(SBOM)

Mend 可輕鬆以多種標準化格式(如 SPDX、CycloneDX匯出您的 SBOM 報告,並支援匯入第三方 SBOM。同時結合 VEX 資料AI 驗證透明度
以滿足政府及客戶對軟體供應鏈安全合規的要求(如 NTIA、CISA、FDA 等標準)。

報告具備高度視覺化呈現,可清楚展示元件間的依賴關係鏈,協助企業即時掌握風險來源與供應鏈透明度。

業界公認的 AppSec 領導者

連續六年被 FORRESTER 評選為管理工具領導品牌

80%

縮短 MTTR

95%

開發者採用

100%

幾天內擴展到 10,000 名開發人員

完整的整合方案

Mend.io 的集成可以在您的團隊已經使用的工具中無縫工作,以減輕負擔,同時在貢獻的開發人員中實現 100% 的採用率。了解您的 AppSec 程式如何從將漏洞和補救措施轉移到儲存庫中獲益 - 無論您使用的是 Github、Azure DevOps、Bitbucket Cloud、Bitbucket Data Center、Gitlab 還是 Artifactory

瞭解更多

如有任何需求或是訂製方案

歡迎聯繫我們!

聯繫宏虹