Anwendungssicherheit
SSDLC-Programm
Um die Sicherheit der JFrog平台für unsere Kunden zu gewährleisten, hat unser Sicherheitsteam ein breitgefächertes sicherheitprogram implementiert, das in den Software- entwicklungszyklus(安全软件开发生命周期/SSDLC) des Unternehmens integriert ist。
培训für sichere软件Entwicklung
Das JFrog研发团队absolviert regelmäßig相关Schulungsprogramme, die ihr Bewusstsein für Problembereiche schärft, ihr Wissen erweitert und ihre Fähigkeiten fördert, neue, auf Sicherheit ausgerichtete Funktionen zu konzipieren und zu entwickeln。
Security-Champions方针
Die Security Champions sind dafür verantwortlich, das Sicherheitsbewusstsein in den R&D Teams zu schärfen, Die Effektivität des sicherheitsprogramsvon JFrog für Anwendungen zu verbessern und gleichzeeitig Die Beziehungen zwischen den internen Teams und den für Die Sicherheit zuständigen Führungskräften zu stärken。Das安全冠军计划ermöglicht es, während der gesamten Forschungs- und entwicklunsphase skalierte sicherheitsm ßnahmen umzusetzen und bei JFrog eine von höchstem Sicherheitsbewusstsein geprägte Einstellung bei der Entwicklung von Anwendungen zu entwickeln。
分析der Sicherheitsrisiken
那么自信的设计
Das Ziel des auf Sicherheit ausgerichteten Designprüfprozesses von JFrog最好的darin, Sicherheitsverbesserungen für die Entwicklung von JFrog- anwendungen so früh wie möglich祖祖留名和祖祖留名。
berits in den frühesten Phasen des Entwicklungsprozesses für JFrog- software wenden die technischen Teams von JFrog sichere Designprinzipien wie“最小特权”和“故障安全”an。
模型lierung von Bedrohungen
在青蛙的核心元素中,我们的模型lierung von Bedrohungen。Es ist eine technische Methode, die Es ermöglicht, Bedrohungen, Angriffe, Schwachstellen und Gegenmaßnahmen zu identifizieren, die unsere Anwendungen betreffen könnten。Wir nutzen die Modellierung von Bedrohungen dazu, das Design unserer Anwendungen zentwicken, unserer Sicherheitsziele zerfüllen, Sicherheitsanforderungen zdefinieren和Risiken zreduzieren。
Sicherheitstests
静态应用程序安全测试für Anwendungen(静态应用程序安全测试/SAST) bzw。statische analyen sind eine Testmethode, bei der Quellcode analysiert ward, um Sicherheitslücken zu ermitteln, die Anwendungen für Angriffe anfällig machen。SAST-Tools scannen eine Anwendung, bevor der Code kompiliert wild。
ast - tools geben Entwicklern beim Programmieren Echtzeit und helfen ihnen中的反馈,problem me zu beheben, bevor sie den Code in die nächste Phase des Software-Entwicklungszyklus weiterleiten。Dadurch wild verhindert, dass sicherheits相关度问题erst nachträglich erkannt werden。
DAST-Lösungen(动态应用安全测试)werten die Eingaben und Ausgaben von Anwendungen aus und überprüfen dabei ausschließlich die Angriffsoberfläche。DAST-Lösungen testen laufende Binärdateien,嗯Schwachstellen zu ermitteln, die beispielsweise in dynamisch generiertem Code vorhanden sind und mit ast - tools nicht gefunden werden。
JFrog hat SAST- und DAST-Tools in den Entwicklungszyklus integriert und führt SAST- und DAST-Scans jedes Mal durch, wenn Code eingecheckt und wenn Code freigegeben wwd。
JFrog x射线-软件组成分析(SCA)
JFrog Xray ist eine universselle SCA-Lösung, die nativ in Artifactory integriert wildum Entwicklern and devsecop - teams eine einfache Möglichkeit zum Scannen von Binärdateien zbieten。JFrog x射线识别proaktiv Schwachstellen im Quellcode und Lizenzverstöße, bevor sie in producktionsversionen übernommen werden, und leistet damit einen einzigartigen Beitrag zur Sicherheit der Anwendung。
JFrog x光扫描kontinuierlich die JFrog Platform, um alle Pakete zu sichern, die auf binärer Ebene gespeichert sind。模具自动化的工作流程在cdic -流水线模具frühzeitige Kontrolle der Software- releasezyklen und verstärkt das Vertrauen in模具软件。
JFrog x射线lässt sich nativ in Artifactory integrieren, sodass in primärer Hub für sichere Softwarepakete verfügbar ist, die von Entwicklern heruntergeladene Open-Source-Binärdateien enthalten。
Wir sind vom Wert des“左移”- ansatzes überzeugt, bei dem die Ermittlung von Sicherheits und Compliance-Problemen und geeignten Abhilfemaßnahmen frühzeitig begin - nicht erst dann, wenn der Code productionsberit ist und während des gesamten Software-Lebenszyklus fortgesetzt wd。
Mithilfe von JFrog x射线führt JFrog- sicherheitsteam eine kontinuierliche, mehrschichtige分析容器和软件areartefakte durch, um schachstellen和问题,der eachtung von lizen in jedem Abschnitt unserer internen cfid管道。
Wenn Builds aufgrund der internen Richtlinien von JFrog fehlschlagen, weil bestimmte Sicherheitslücken erkannt werden, beheben unsere technischen Teams die Sicherheitsanfälligkeiten gemäß den Vorgaben unserer internen SLA, die an Branchenstandards ausgerichtet ist。
Lesen Sie mehr über dasOffenlegen und Behebenvon schherheits的问题,死在JFrog-Produkten gefunden wurden。
Penetrationstests
Zum Abschluss unseres Entwicklungszyklus werden unsere Produkte und Funktionen kontinuierlich sowohl实习生durch das für die Anwendungssicherheit zuständige JFrog-Team als auh extern von sachkundigen externen Expertenteams einer Reihe von渗透力stests unterzgen。
Bug-Bounty-Programm
“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”“青蛙”
Klicken您在这里“嗯weitere Informationen zum Melden von sicherheit’sproblem,一个青蛙。
Anderungsmanagement
达斯·西切尔海特特·冯·青蛙和überprüft allle Änderungen一个不安全的产物,嗯,gewährleisten,不安全的Qualitätsanforderungen erfüllen和不安全的Geschäftsziele奥斯切特·辛德。Das Sicherheitsteam von JFrog führt selektiv sicherheitscontante Codeüberprüfungen für Änderungen durch, um die Einhaltung unserer internen Sicherheits- andforderungen zu gewährleisten。
Web-App和API-Schutz
我拉赫门不seres mehrschichtigen Schutzansatzes wurde ein spezielles Ökosystem zur Eingrenzung von dos - angriffen eingerichhtet。JFrog nutzt Anti-DDoS-Schutz, eine Web Application Firewall (WAF) der nächsten Generation, in API-Schutztool, erweiterte Geschwindigkeitsbegrenzung和Bot-Schutz。
