具有开发灵活性的高级DevOps安全性
唯一以高级devops为中心的安全解决方案现在可以作为自托管、云、多云和混合使用。
通过
9分钟阅读
宣布JFrog x射线的普遍可用性自托管订阅中的高级安全功能,组织可以灵活地在内部和云中管理和保护他们的软件开发管道。
由于开发人员和DevOps基础设施是软件供应链中的主要攻击向量,我们设计了我们的平台和高级安全功能,以更好地发现、评估和修复安全漏洞,并将其自动化并集成到现有的软件开发生态系统中。包括:
客户现在可以在他们选择的软件开发管道策略中利用这些以devops为中心的高级特性。该产品将领先的以二进制为中心的安全功能提供给更多希望加强其软件供应链(SSC)以进行自托管开发的组织。
JFrog高级安全功能…
JFrogs先进的安全功能增强JFrog x光具有检测和防范软件供应链威胁的能力。这些特性添加了一种深入源和二进制扫描的新方法,用于查看无法通过传统包管理器、soms或典型工件元数据访问的数据。
这样可以对分析的二进制文件和代码的安全状况有新的理解,特别是容器映像。先进的扫描器允许识别在大多数情况下仅通过源代码分析无法发现的安全问题。
源代码分析是不够的
源代码分析不足以真正分析安全漏洞的上下文。只有通过查看二进制文件才能理解上下文,它包含比源代码更多的信息。容器和存档提供了软件运行过程的细节,以及在生产环境中运行的上下文,因此,今天的攻击者的目标是什么。二进制文件包含关键信息,可以破译上下文洞察,以确定漏洞是否绝对适用于应用程序并被视为风险。
使用深入的二进制扫描可以全面理解上下文中的安全问题——不仅可以识别问题,还可以了解它们在生产中的影响(如果有的话)。
少花点时间在误报上
您是否厌倦了使用安全工具,这些工具会给您带来无数漏洞——其中许多漏洞甚至不会构成重大风险?做传统的评分方法浪费了你宝贵的时间通过忽略关键的软件属性?现在是时候通过上下文分析将您的安全游戏带入下一个层次了。通过了解漏洞上下文,您可以优先考虑真正重要的漏洞,避免在不相关的漏洞上浪费时间。不要满足于低于标准的安全措施——切换到考虑软件独特配置和安全机制的解决方案。通过上下文分析,您最终可以实现您应得的安全软件开发。
的上下文分析引擎(这是容器的首创)通过分析容器内容和属性来检查所识别的cve的适用性。它检查第一方代码是否调用与特定CVE关联的OSS包中的脆弱函数。它还扫描额外的配置和文件属性,以获取CVE开发的先决条件。
借助JFrog的上下文分析功能,走在游戏的前面,为软件供应链安全法规的新时代做好准备。由于像7900法案这样的法规要求对安全性没有影响的cve,因此拥有一个可以帮助您满足这些标准的工具至关重要。我们的上下文分析不仅仅是简单地识别漏洞——它还提供可靠的、可操作的、具有成本效益的补救措施,考虑到容器的独特属性和配置。告别解决所有问题的艰巨任务,向优先处理关键问题的有效方法问好。对于安全软件开发的最终解决方案,将上下文分析应用于源代码(通过IDE)和二进制分析。使用JFrog,您可以放心,您正在朝着兼容和安全的软件采取正确的步骤。
这个特性可以成为符合软件供应链安全法规新时代的真正资产,例如7900年法案不需要任何影响产品安全性的cve。上下文分析特性还推荐可靠的、可操作的、具有成本效益的补救措施,这些补救措施考虑到容器的特定属性和配置。这是开发者第一次不再被要求“简单地修复所有东西”,而是被提供准确的证据和优先级。最终的方法是同时对源代码(通过IDE)和二进制分析应用上下文分析。
清除任何无意中暴露的凭证
您是否考虑过存储在容器和其他工件中的密钥和凭证的安全性?不要让它们轻易成为恶意攻击者的目标。有了JFrog的秘密检测,您可以放心,您暴露的凭证被跟踪和解释。JFrog的秘密检测发现搜索已知结构和完全随机的凭证(使用可疑的变量匹配),确保我们的检测引擎产生最小的误报。不要满足于低于标准的安全措施-信任JFrog的架构,以提供最大的准确性来识别暴露的密钥和凭证。
这个功能不仅可以识别你的秘密存储在哪里,而且还提供了关于当前问题的关键信息——无论它是否被利用。这不仅仅是关于秘密本身的细节。硬编码的秘密可能会造成严重的安全威胁,这就是为什么我们的二进制扫描功能对于为您的秘密检测需求提供全面的解决方案至关重要。
保护您的基础设施即代码(IaC)配置
您是否担心错误配置基础设施并危及云部署的潜在风险?随着基础设施即代码(IaC)文件的兴起,人为错误的可能性比以往任何时候都高。但是不要担心——保护您的IaC文件对于保证云部署的安全和安全至关重要。JFrog的IaC安全scanner是保护您的基础设施的重要工具,特别关注存储在JFrog Artifactory中的Terraform配置文件。通过我们的通用方法,您可以期待将来添加更多的IaC文件类型,为您的安全需求提供更广泛的覆盖范围。这为您的IaC安全问题提供了全面、主动的解决方案。
获得使用开源图书馆和服务的信心
您是否担心您的开源软件包可能会使您的应用程序面临攻击的风险?传统的应用程序安全解决方案经常忽略这个关键方面,只关注正在使用什么包(就像SCA工具一样),而不是如何使用它们。但是用JFrog 's尖端安全引擎,我们超越表面的层面,扫描常见的OSS库和服务的配置和使用方法,如Django, Flask, Apache和Nginx。这意味着我们可以识别可能使您的软件容易受到攻击的误用和错误配置。我们的扫描器考虑到容器的更广泛的环境,为您的应用程序安全问题提供全面和主动的解决方案。
总结
为了有效地提供这个新的安全层,我们首先增强了JFrog Xray数据库,以包括JFrog安全研究团队关于cve和恶意软件包的专有数据-包括细粒度补救和缓解指令。我们还使cve和许可证上的JFrog Xray数据更加可靠,增强了JFrog Xray的可扩展性,并显著降低了数据更新延迟。还添加了“操作风险”策略功能,以支持基于软属性(如维护人员数量、维护节奏等)的包阻塞。
我们独特的管理和保护软件供应链的平台方法为基于devops的软件开发带来了无与伦比的优势。这一声明巩固了JFrog软件供应链平台作为当今现代DevOps工作流的唯一安全解决方案的地位。二进制文件是软件开发的重心,也是JFrog平台的核心竞争力;以上下文方式扫描它们是目前可用的最先进和最简化的查找和修复路径。
了解JFrogs的高级安全功能
注册我们的JFrog x射线和高级安全演示或专门的1:1会话,在那里您可以了解功能和最近的增强,深入了解它们的优势,并探索JFrog平台的演示。
自己尝试高级安全功能的最快和最简单的方法是开始云试验.或者,如果您想在自托管试用版或POC中尝试高级安全功能,那么请联系我们.
