JFrog技术和组织措施

最后更新:2023年1月1日

JFrog将保持以下技术和组织措施(汤姆斯):

应用和基础设施控制
  • JFrog的网络事故应变小组(CIRT)不断监察我们的产品、基础设施运作及保安解决方案。hth华体会最新官方网站JFrog的安全团队已经建立了全面的策略和策略,以快速有效地响应、通知和补救安全事件。
  • JFrog的CIRT在内部安全信息和事件管理中持续监控我们的产品日志、基础设施hth华体会最新官方网站操作和系统审计日志(SIEM),以迅速及有效地侦测可能发生的事故。作为这一持续努力的一部分,CIRT调查并回应来自bug赏金程序、漏洞披露程序、自动扫描仪、客户支持门户和专用电子邮件收件箱的报告。
  • 为确保及时有效地作出回应,我们的保安行动中心(SOC)配备了高素质和经验丰富的安全专家,他们致力于履行我们的内部SLA政策。
内部控制
  • JFrog根据最小权限原则为每个系统和服务定义了访问角色。使用我们所有的应用程序,只可通过单点登录(SSO)及双因素认证(2足总),采用强密码策略。
  • JFrog要求其员工使用密码管理器,以确保他们使用唯一而复杂的密码,并将其存储在安全的保险库中。
  • JFrog使用零信任解决方案,通过JFrog的内部网络安全地连接我们的员工、设备和应用程序。我们的零信任解决方案提供Web和URL过滤、沙箱、云防火墙、CASB和DLP。
  • JFrog工程师使用先进的2FA和即时访问解决方案连接到我们的生产资源,这允许我们采2022世界杯阿根廷预选赛赛程用最小特权原则并进行全面审计。
  • JFrog笔记本电脑配备了默认开启的加密技术,以及先进的反恶意软件。
  • JFrog使用电子邮件保护解决方案,旨在防止恶意软件,零日攻击,网络钓鱼,商业电子邮件妥协(BEC),垃圾邮件和n天。
  • 作为入职培训的一部分,JFrog员工必须接受强制性的数据保护和网络安全意识培训,以及之后的持续培训。此外,员工还会接受持续的安全教育培训,内容包括网络钓鱼、密码管理、安全开发和云帐户操作的安全最佳实践等。
安全事件
  • JFrog的CIRT与外部事件响应专家合作,协助我们处理紧急安全事件。作为我们全面漏洞管理流程的一部分,JFrog的CIRT对我们所有资产进行持续和自动的漏洞扫描;优先考虑漏洞修复并快速发布补丁。
标准
  • JFrog的认证ISO 27001,资讯科技保安管理政策的全球标准。ISO 27001是一个信息安全管理系统(ISMS)的框架,它能够保证包括人员、流程和IT系统在内的信息的持续机密性、完整性和可用性,其目标是为建立、实施、维护和持续改进ISMS提供要求。
  • JFrog的认证ISO 27701,将资料私隐扩展至iso27001 /2。本隐私信息管理系统(PIMS)概述了个人身份信息(PII)控制者和PII处理者管理隐私控制和降低个人隐私权风险的框架。
  • JFrog聘请安永会计师事务所审计其系统和组织控制报告SOC 2 II类报告.此审核程序确保我们安全地管理和保护客户的数据。该报告每年进行验证和更新,是概述和证明JFrog实现和维护合规性和控制目标的方式的关键文件。

以下tom仅适用于JFrog Cloud Subscriptions:

访问控制
  • 每个云客户帐户(i)使用唯一ID部署,以确保充分的分离;(二)基于最小特权原则,赋予其独特而狭窄的作用。在执行任务和访问共享资源(如数据库、云对象存储等)时,可根据需要授予相应的权限。2022世界杯阿根廷预选赛赛程
  • JFrog平台的默认和自动部署是在一个共享的环境中,包括以下资源:2022世界杯阿根廷预选赛赛程
    • 负载均衡器是区域级的共享组件;
    • 应用程序的数据库模式和角色专门用于每个客户。
    • 应用程序的数据库和文件存储使用云提供商管理的服务进行部署,在区域级共享;
    • 每个客户都有自己独特的角色,对自己的文件具有权限。
  • JFrog平台使用托管对象存储和来自主要云提供商的数据库。
数据加密
  • 传输中的数据被定义为通过同一网络或互联网在不同目的地之间主动传输的数据(例如,应用程序到数据库或对象存储)。在JFrog平台中,客户数据在传输过程中使用HTTPS和TLS V1.2进行加密。
  • 静态数据定义为物理存储和以任何数字形式托管的数据(例如,云存储、数据库、数据仓库或云备份),并且不会在不同目的地之间主动传输。在JFrog平台中,所有托管的静态数据都使用256位AES加密安全地存储在数据库和对象存储中。
应用和基础设施控制
  • 作为我们多层云保护方法的一部分,一个专门的DDoS缓解生态系统已经到位。JFrog利用anti-DDoS保护,下一代WAF, API保护工具,高级速率限制和机器人保护
网络控制
  • JFrog有适当的网络周界防御解决方案,以监控、检测和防止恶意网络活动,并限制对授权用户和服务的访问。
备份
  • 通过将存储和数据库复制到同一大洲的不同区域,JFrog为Artifactory实例维护了一个内部备份解决方案。
业务连续性计划和灾难恢复计划
  • JFrog将维持业务持续计划(BCP)和灾难恢复计划(组成)与JFrog平台的行业最佳实践相一致,该平台将至少每年进行测试。此外,BCP和DRP将确保:(i)用于提供JFrog平台的已安装系统将在中断情况下恢复;(ii)在发生物理或技术事件时,JFrog及时恢复客户数据的可用性和访问的能力;以及(iii) JFrog用于提供JFrog平台的系统的持续保密性、完整性、可用性和弹性。
标准
  • JFrog的认证ISO 27017,为云服务提供商和用户制定的全球安全标准。ISO 27017为云计算的信息安全方面提供了指导,以建立一个更安全的基于云的环境,降低安全问题的风险。