博客家

JFrog评选的2021年最佳DevSecOps博客

通过JFrog团队

7分钟阅读

JFrog评选的2021年最佳DevSecOps博客

安全一直是DevOps团队关注的问题,现在已经成为开发和发布软件的一个关键部分——这一点从JFrog博客中急剧增加的内容就能反映出来DevSecOps.事实上,我们在2021年创造了许多关于安全和遵从性的有力的和有启发性的博客,以至于我们决定我们的DevSecOps报道应该有一个“2021年最佳”的帖子。

在这里重点介绍的十几个博客中,你会发现一些关于JFrog安全研究团队发现的新漏洞的内容,包括PyPI储存库和npm储存库中的恶意Python包。另一些则概述了你需要了解的热点问题,如Log4j安全缺陷软件材料清单的重要性(SBOM).您还将发现评估DevSecOps产品的宝贵提示和最佳实践;hth华体会最新官方网站保护您的SDLC免受供应链攻击;,妥善披露漏洞

直接进入DevSecOps的所有内容!

  1. Log4j Log4Shell 0日漏洞:你需要知道的一切
  2. 漏洞难题:改进披露过程
  3. 如何为您的工件设置软件安全性和遵从性
  4. 正面交锋:渗透测试vs.漏洞扫描
  5. 安全扩展软件供应链
  6. 评估和选择正确的DevSecOps解决方案的7个技巧
  7. 一年的供应链攻击:如何保护你的SDLC
  8. 是时候加入SBOM了
  9. 恶意的npm包在你的Discord令牌之后- 17个新包被披露
  10. JFrog检测恶意的PyPI包偷窃信用卡和注入代码
  11. INFRA:HALT在NicheStack中发现14个新的安全漏洞
  12. 没有互联网吗?没有问题。使用Artifactory与气隙-第一部分


Log4j Log4Shell 0日漏洞:你需要知道的一切

大规模的Log4j漏洞已经震动了IT世界,我们的安全团队一直处于每一个开发的顶端,让我们的客户了解所有重要的角度,同时提供宝贵的见解、提示和最佳实践,以及——最重要的——用于识别漏洞的开放源码工具。看看我们主要Log4shell帖子关于这个话题的所有细节。

Log4j Log4shell漏洞流程图

漏洞难题:改进披露过程

披露安全漏洞可能很复杂。这个过程需要受影响的供应商和发现缺陷的研究人员之间的合作。在本文中,JFrog的安全首席技术官兼副总裁Asaf Karas股票的建议论信息披露过程中供应商与研究人员之间的微妙关系。



如何为您的工件设置软件安全性和遵从性

一个软件组合分析(SCA)工具例如Xray,通过自动化管理和跟踪开源软件(OSS)组件,帮助您确保使用的所有开源软件(OSS)组件的安全性。JFrog内容策略师Adi Atzmony解释了循序渐进的如何设置Xray,以便您可以检测您的OSS组件中的漏洞和许可证遵从性问题。

正面交锋:渗透测试vs.漏洞扫描

验证你的产品是安全的是必须的,因为黑客在利用漏洞方面越来越老练和积极,监管机构也增加了安全要求。在这篇文章中, JFrog的安全解决方案总监Asaf Cohen解释了在SDLC的各个阶段集成软件安全的各种方法的优缺点。



安全扩展软件供应链

JFrog平台如何帮助您扩展和保护您的软件供应链?看看这篇文章了解我们平台的存储库和注册表保护、SCIM支持、秘密保护库支持、更强的项目管理、优先级解析等。

评估和选择正确的DevSecOps解决方案的7个技巧

当你寻找一个DevSecOps解决方案来帮助你减轻OSS组件中的vulnelog4jrability时,你会感到决策疲劳和分析瘫痪吗?不要担心!这是一个有用的清单从JFrog产品营销经理Paul Garden,帮助您向供应商提出正确的问题,穿越市场噪音,并做出明智的决定。



一年的供应链攻击:如何保护你的SDLC

供应链攻击事件的激增,损害了软件开发和交付,使得DevOps团队争相寻找解决方案。不幸的是,如果不了解这些攻击的工作原理,就很难进行预防、检测和补救。找出如何保护您的SDLC,并确保您的软件分发是安全的



是时候加入SBOM了

我们会记得,在2021年,软件材料清单(SBOM)成为“必备”——每个人都必须将其纳入SDLC的关键DevSecOps部件。这里是JFrog解决方案工程师Bill Manning解释了SBOM是什么,它的好处,围绕它的误解,以及为什么它必须是SDLC安全和遵从性的关键元素。



恶意的npm包在你的Discord令牌之后- 17个新包被披露

JFrog安全研究团队用我们的自动化工具持续监控流行的OSS存储库,这导致在npm (Node.js包管理器)存储库中发现了17个恶意包。JFrog安全专家Andrey Polkovnychenko和Shachar Menashe细节这个发现以及你如何保护自己免受这种威胁。



JFrog检测恶意的PyPI包偷窃信用卡和注入代码

我们的安全团队还在PyPI存储库中发现了11个恶意Python包,这一发现表明攻击正变得越来越复杂。这些恶意软件包中使用的高级规避技术表明,对OSS的攻击正变得越来越隐蔽,解释JFrog安全专家Andrey Polkovnichenko, Omer Kaspi和shaachar Menashe。



INFRA:HALT在NicheStack中发现14个新的安全漏洞

另一项发现涉及NicheStack,这是一种TCP/IP网络堆栈,用于数以百万计的运营技术设备,包括关键基础设施。JFrog发现了14个漏洞,我们将其命名为INFRA:HALT,这些漏洞可以支持远程代码执行、拒绝服务等。了解更多的细节来自我们的专家Asaf Karas, Shachar Menashe和Denys Vozniuk。



没有互联网吗?没有问题。使用Artifactory与气隙-第一部分

您是否有阻止您将开发操作公开到Internet的安全性或遵从性需求?Artifactory已经帮你搞定了。在这个博客,开发人员倡导者Batel Zohar和解决方案工程师Tal Yitzhak解释了如何在没有网络连接或单向连接的情况下使用Artifactory。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

订一个演示