JFrog和Vdoo:在一起更好

随着最近收购的Vdoo的技术被集成到JFrog的软件生命周期中，JFrog的客户将很快享受到从开发到设备的端到端的整体安全JFrog DevOps平台．

这是JFrog和Vdoo领导人在第一次联合网络研讨会上做出的承诺，他们在会上解释了JFrog收购Vdoo的原因，以及该平台如何发展安全性和遵从性功能将会扩展，集成的时间表是什么?

“我们对未来感到非常兴奋。JFrog的首席技术官兼联合创始人Yoav Landman在网络研讨会上表示:“我们正在努力尽快为您提供这一功能。Vdoo & JFrog:从代码到边缘的增强安全性．

统一开发、安全与运营

开发、安全和运营团队之间经常存在脱节和不信任，尤其是在大型组织中，但将他们联合起来的是运行时二进制文件。这是开发人员制作的，安全专家扫描的，运营商部署和监控的。

“这是我们的共同点，”兰德曼说。这也是JFrog与Vdoo合二为一的关键原因:两者都专注于二进制文件。

Vdoo首席执行官兼联合创始人纳蒂·达维迪说:“这都是关于二进制的。“研究双星是理解什么是重要的唯一方法。”

通过对二进制文件的关注，Vdoo执行真正的上下文分析，极大地降低了误报率，确定了应该优先考虑的最关键的问题，并减少了盲点，例如可能导致安全性和遵从性差距的错误配置。

同样重要的是，将注意力集中在二进制文件上是真正了解攻击者思想的唯一方法。

通过覆盖软件安全的所有关键方面，JFrog和Vdoo将为开发、安全和运营团队提供一个单一的解决方案，用于全面测试和分析组织的整个软件安全和合规需求。

这样，组织就会有一个协调统一的DevSecOps战略和方法，所有团队都在一致工作，并基于相同的具体证据和指导做出决定。

JFrog DevOps平台

首先了解通用和混合JFrog DevOps平台的范围是关键，该平台为二进制文件提供端到端软件发布管理——JFrog称之为BinOps生命周期。

该平台包括工件存储和管理、安全和法规违反检测、CI/CD、分发等等。

仔细看看x光

与收购Vdoo最相关的平台是JFrog Xray软件组合分析(SCA)用于检测开源软件漏洞和许可证遵从性问题的工具。它区别于竞争对手的主要特点包括:

• IDE集成

Xray可以让您在拥有二进制文件之前就保护软件发布管道和供应链，从您编写第一行代码并需要应用程序的依赖关系开始。Xray将与最流行的ide集成，并允许您在其界面内执行扫描。

• CI / CD集成

一旦构建并打包了软件版本，Xray就会执行SCA，并编译一个SBOM，通过唯一地利用构建过程并捕获有关依赖关系和产品工件的信息。它还允许您设置可操作的策略，例如，使用不安全的依赖项自动使构建失败。

• 分布的集成

通过与JFrog Distribution的集成，Xray将扫描您的发布SBOM，确保安全推广和软件分发来生产。

• 生产监控

在软件投入生产后，Xray允许您监视它并检测生产违规，并提供完整的影响分析图，例如，新披露的漏洞，以及补救建议。

Xray监控已经部署的软件的方式是通过其独特的递归扫描和影响分析。x射线是怎么做到的呢?

• 只对组件进行一次索引，扫描它们并将它们保存在数据库中
• 递归地扫描每个二进制层，将软件版本分开并一直扫描到其最深的组件
• 构建一个组件图，并将新的和已知的漏洞匹配到图中
• 创建一个影响分析图，向您展示使您的软件发布易受攻击的错误工件，并将其链接到您已经部署和分发的内容

为什么JFrog和Vdoo在一起更好

JFrog确定了Vdoo在行业中脱颖而出的五个主要价值主张。

• 加速缓解

Vdoo使用独特的技术和技术来扫描工件并减少与漏洞相关的噪音。通过在全面、全面的上下文中查看漏洞，并考虑到二进制文件和IT环境的细节，Vdoo确保其发现和缓解建议是准确和相关的。

Vdoo将这种针对漏洞和错误配置的情境化、个性化分析称为适用性扫描。从本质上讲，这种方法允许Vdoo确定特定的漏洞或配置问题是否确实会影响您的特定工件或二进制文件，因此，基于这种洞察，您可以根据问题对您的组织的实际紧急程度和重要性，优先考虑下一步的步骤。

Vdoo并不止步于检测和分析威胁。它还提供了详细的知识库文章，提供了开发人员友好的关于如何减轻关键漏洞和错误配置的说明。Vdoo的调查结果与40多个安全标准相对应，它还可以快速让你知道你是否符合行业要求和政府法规。

• 全自动零日检测

Vdoo拥有一个安全专家研究团队，可以发现尚未披露的漏洞，帮助组织领先于攻击者一步。事实上，Vdoo是一个经过授权的CVE编号机构(CNA)，这意味着它可以在数据库中注册新的漏洞常见漏洞和暴露列表。

除了发现和披露零日漏洞外，Vdoo的威胁情报团队还提供关于已知和已披露漏洞的上下文和见解，因此您可以了解它们对您的软件构成多大的威胁，给定您的环境的细节。

Vdoo扫描工件的每个元素以查找漏洞和恶意代码，支持编译二进制文件和源代码，并使用各种技术，包括下一代静态分析、模糊和符号执行。它检测恶意OSS软件包，后门和漏洞。

• 万向装置保护

凭借其在物联网安全方面的强大基础，以及在各种设备上的丰富经验，Vdoo将JFrog打开了一个新的端点世界——嵌入式系统、智能手机、服务器等，横跨各种操作系统、架构和移动控制应用程序。

• C/ c++应用程序扫描

通过高级SCA, Vdoo使用基于机器学习的二进制相似度算法识别C和c++组件，从而补充了JFrog针对C和c++的Conan包管理器的功能。此外，Vdoo还能检测配置问题和零日威胁。

• 运行时的保护

Vdoo的运行时代理以一种量身定制的方式保护您的运行时环境，因为它是为它运行的每个系统自动编译的。它的核心功能是智能白名单，只允许加载和执行已知和批准的代码。

接下来是什么?

Xray将在今年第三季度通过Vdoo漏洞数据(包括补救建议)进行增强，并将在2022年与JFrog DevOps平台进行更深入的集成。

Vdoo首席技术官兼联合创始人Asaf Karaas表示:“我们期待着很快将这项技术带给所有JFrog客户，因为Vdoo旨在让开发者在安全方面的生活更轻松。”“这就是我们的愿景。”

按需观看完整的网络研讨会“Vdoo & JFrog:从代码到边缘的增强安全”获取关于Vdoo技术与JFrog DevOps平台集成的所有细节!