博客家

? ? ? ?我的意思是。x光は機能します – パートⅡ

shimonot

通过shimonot

6分钟阅读

保护你的气隙环境

ソフトウェアサプライチェーンへの攻撃が増加している中,エアギャップのある環境でDevSecOps。組織の内部ネットワークのセキュリティを確保するために,内部ネットワークと外部ネットワークを分離する傾向が強まっています。。

エアギャップソリューションは,より厳格なセキュリティ要件を提供しますが,それだけでは十分ではありません。ソフトウェア開発者が使用するサードパーティの依存関係,CIプロセス,デプロイメントパイプラインについても,セキュリティ上の脆弱性やライセンス違反がないかどうかをスキャンする必要があります。

?JFrog x光のようなセキュリティ脆弱性ソリューションを組み合わせることで,エアギャップ環境を保護し,内部の開発環境で使用されるすべての脆弱な工件を除外することができます。

前回のブログでは,ちょっとしたツールやスクリプトを使うことで,エアギャップのある環境でもリモートの依存関係にアクセスし続けることができることを紹介しました。今回は,ソフトウェアを保護し,開発環境で厳格なセキュリティポリシーを適用するための手順とベストプラクティスを紹介します。

[中文]:dmz

以下のセットアップは,DMZにJFrog x光を設置してリモートの依存関係にある脆弱性をスキャンするソリューションの例を示しています。JFrog x光は内部ネットワークにも設置し,ソフトウェアパッケージの継続的なスキャンを行い,将来の潜在的な脆弱性から組織を保護します。

使用外部DMZ(安装了JFrog Xray)扫描远程依赖项以查找漏洞

エアギャップ・ソリューションでx光を使用する際のベストプラクティス

  • x射线,x射线,x射线,x射线。人工制品継続的なスキャンが保証され,すでに“承”認された依存関係に対して将来発生する可能性のある新しい脆弱性から工件を保護することができます。
  • 。DMZでは依存関係解決のための大まかなポリシーを適用することもありますが,特定の製品/リリースを意識することもある内部ネットワーク環境では,より厳格なアプローチをとることができます。
  • JFrog CLIを使用して,内部のx光データベースを最新の脆弱性情報で更新します(完全にエアギャップがある場合)。
    • (
    • 同期プロセス(オンラインでの同期も含む)が実行されているか監視する
  • 本番環境に導入する前に,エアギャップフローのすべてのプロセスをテストできるように,ステージング環境にて実装します。
  • DMZでは,特定の違反の無視,パッチ適用,テスト,脆弱な依存関係の使用について必要に応じてSecOpsが管理します。

* JFrog x光机

実装例:アイデンティティ・エアギャップ環境に基づくリポジトリのキュレーション・プロセス

大規模な開発チームが世界中に存在するようなエンタープライズ企業では,IDベースのソリューションがデファクトスタンダードなアプローチになりつつあります。。。

  • 内部環境からは利用できない外部のサードパーティ依存リクエスト
  • そのような依存関係が会社のポリシーによって使用できない場合,その承認/不承認

次の図は,IDベースのエアギャップソリューションにおけるサードパーティ依存関係の選択,整理,およびダウンロードのプロセスを説明しています。全てが,工件管理のコンテキストにおいて特に高度に規制された安全な環境の中で行われます。なお,内部ネットワークに設置されたArtifactoryは策划レポジトリと呼ばれるスキャン済み工件のみを保存するレポジトリを持ち,DMZに設置されたArtifactoryはインターネットへのアクセスが可能な开放レポジトリを持ちます。

在气隙环境中管理软件二进制文件安全性的过程

エアーギャップ環境における,ソフトウェアバイナリのセキュリティ管理プロセス

【中文译文

  1. 開発者である科密特が,新しいサードパーティの依存関係を宣言して,プロジェクトをビルドしようとする
  2. “404未找到”この依存関係は,インターナルArtifactoryの策划リポジトリで解決不可であるため
  3. Webhookリクエストが送信され,“自助服务牧师过程”が通知される
  4. このリクエストに対する“票# 1”が(ServiceNow / Jira等チケットシステムを介して)オープン
  5. この依存関係をダウンロードするために,DMZ Artifactoryにリクエストが送信される
  6. DMZ人工智能,
  7. x射线
  8. 网络钩子(Webhook

バイオレーションが生じていない場合:

  1. “1号票”,哇
  2. 。スキャン後は策划レポジトリから开放リポジトリへアクセス可能となり依存関係が解決可能となるため

バイオレーションが生じた場合:

  1. 依存関係の使用を制限するx光ポリシーのバイオレーションを示す“票# 2”がオープン
  2. 科密特に,バイオレーションによって依存関係の使用が現在制限されていることが通知され,SecOpsがバイオレーションをレビュー
  3. 米はバイオレーション依存関係をサンドボックス環境でテストし,使用可能であれば(脆弱な機能が不必要である可能性有),承認されるべきであるというエビデンスをSecOpsに提供
  4. “2号票”(Ticket 2)
  5. “2号票”

バイオレーション工件がSecOpsに使用を承認された場合:

  1. Webhook(网络钩子
  2. 依赖,打开,打开,打开,打开,打开
  3. “2号票”

バイオレーション工件がSecOpsによって使用を承認されない場合:

  1. 科米特,SecOps,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特,科米特

我很喜欢你

    • 必要な監査プロセスを提供
    • スケールアップのインフラを構築
    • SecOpsチームプロセスに容易に適用可能
    • プロセスが自動化され,開発者からは非透過であるため,開発者負担が軽減される(開発者は依存関係をダウンロードするだけで,あとは全て自動処理)

    このソリューションを導入するためには,高度な自動化が必要であり,受信したチケットを適切に処理するために,SecOpsチームによる高度なエンゲージメントが必要です。

    这是真的吗

受欢迎的标签