JFrog x射线增强SBOM，漏洞管理和威胁分析

作为我们不断努力为您提供最全面和先进的SDLC保护功能的一部分，JFrog继续提高我们的能力JFrog x光安全和合规产品。

在这个博客中，我们提供了最近Xray改进的概述，所有这些改进都旨在帮助您加强软件，降低风险，扩大安全性，简化合规性和加速软件分发有信心。

请继续阅读，了解我们在以下领域的最新进展SBOM(软件物料清单)，git回购扫描，漏洞数据，Jira集成和威胁上下文分析。

威胁上下文分析

安全威胁并非都是平等的。有些是致命的，有些则风险较小。在理想的情况下，您可以修复SDLC中的每一个漏洞、错误配置和合规违规——但考虑到时间和资源的限制，这是不现实的。因此，您必须优先考虑首先补救哪些威胁。这就是上下文分析的关键所在。

x射线现在扫描你的二进制智能，考虑上下文。它不只是查看二进制文件或映像，而是采用一种整体方法来检查它们的环境，包括诸如配置相关性、补丁的存在和编译标志等标准，以确定是否应用了CVE。使用这种上下文威胁分析，Xray可以帮助您确定最关键的安全漏洞，以便您可以相应地优先级并立即解决它们。

当您快速且持续地检测并修复最关键的安全性和合规性缺陷时，您可以更快、更自信地发布软件，并防止问题意外出现并减慢您的管道。

另一个帮助DevOps团队更好地评估和优先考虑风险的新x射线功能是我们称之为CVE研究和浓缩的功能。它通过JFrog安全研究团队的独家信息增强了漏洞的公开可用数据。

每个公开的漏洞都被分配了一个CVE(常见漏洞和暴露)编号，以及一个严重等级，并将它们列在国家漏洞数据库(NVD)。每个人都可以获得这些信息。

但是，JFrog客户可以获得更深入的技术概述和专有的JFrog严重性评分，以便更好地了解cve的风险，并优先考虑补救措施。此JFrog信息包括开发的先决条件和详细的技术缓解解决方案。

这是更多的信息关于这个能力。

通过与版本控制系统(VCS)提供商(如GitHub、Bitbucket和GitLab)的集成，Xray现在可以扫描Git存储库，识别其中的OSS依赖关系，并检测漏洞和许可证违规。客户可以定义策略来触发特定的操作，包括警告违规、失败的拉取请求，以及为依赖项升级创建修复拉取请求。

通过帮助开发人员在他们首选的工具的UI中检测安全性和遵从性问题，JFrog提高了您的团队的能力，使他们能够在开发运维周期的早期和经常解决问题。

毫无疑问，软件材料清单(SBOM)已经成为一个关键DevSecOps块，因为它提供了深入和全面的可见性，以了解哪些组件组成了一个软件块。

事实上，去年白宫关于改善国家网络安全的行政命令强调了SBOM作为“包含构建软件中使用的各种组件的细节和供应链关系的正式记录”的重要性，并强调“获得SBOM，并使用它来分析已知漏洞对管理风险至关重要”。

这就是为什么我们继续支持Xray的SBOM功能，最新的支持SPDX和CycloneDX标准格式。Xray使用机器可读的软件组件和依赖项目录创建soms，现在允许您以这两种标准格式导出soms。

SPDX是ISO/ iec批准的标准，在开源项目中很流行，而CycloneDX是为应用程序安全用例和供应链组件分析设计的轻量级标准。

这些新功能将进一步帮助DevOps团队控制和可见他们的软件组件、它们的依赖关系和相关风险。

一个新的，易于配置与Atlassian的Jira集成让您自动创建基于x射线检测到的安全违规Jira票。在Jira UI中获得这些通知将使已经使用Jira跟踪和管理代码中其他类型错误的开发人员更加容易和方便。

通过不必切换到Xray，您将能够快速评估、优先级和解决检测到的安全性和合规性问题，最大限度地减少其潜在影响，并确保您发布的软件是安全和合规性的。