アプリケーション・セキュリティ
sdlc
お客様のJFrog平台の安全性を確保するために,当社のセキュリティチームは会社のソフトウェア開発ライフサイクル(SDLC)と統合された広範なセキュリティプログラムを実装しました。
セキュアな開発トレーニング
JFrogの研究開発チームは,よりセキュアに機能を設計し開発するための意識,知識,能力を高める関連トレーニングを定期的に受けています。
セキュリティ・チャンピオン・プログラム
JFrogの研究開発チームのセキュリティ・チャンピオンは研究開発チーム内でのアプリケーション・セキュリティ体制を確立し,アプリケーションのセキュリティ・プログラムの有効性を高めると同時に,内部チームとセキュリティリーダーとの関係を強化する責務を担っています。セキュリティ・チャンピオンズ・プログラムはセキュリティを研究開発全体に拡大し,JFrogで最高レベルのアプリケーションセキュリティの文化を構築するのに役立ちます。
我很喜欢你
【翻译
JFrogのセキュリティ設計のレビュープロセスの目的はJFrogアプリケーションの開発におけるセキュリティの改善点をできるだけ早く特定し,設計上の決定の誤りを防ぐことです。
JFrogのエンジニアリングチームはJFrogソフトウェア開発プロセスの初期段階から,“最小特権“や”フェイルセーフ”などのセキュアな設計原則に従っています。
脅威モデリング
。これは当社のアプリケーションに影響を与える可能性のある脅威,攻撃,脆弱性,対策を特定するために採用されているエンジニアリング手法です。脅威モデリングを使用してアプリケーションの設計を行い,セキュリティ目標を満たし,セキュリティ要件を定義し,リスクを軽減します。
セキュリティテスト
静的アプリケーション・セキュリティ・テスト(科协)または静的分析はソースコードを分析し,アプリケーションが攻撃を受けやすいセキュリティの脆弱性を見つけるテスト手法です。。
科协ツールは開発者がコードを記述する際にリアルタイムのフィードバックを提供し,SDLCの次のフェーズにコードを移行する前に問題を修正するのに役立ちます。。
DAST(動的アプリケーション・セキュリティ・テスト)ソリューションはアプリケーションの入力と出力を評価し,攻撃対象にのみ焦点を当てます。DASTソリューションは実行中のバイナリをテストして,科协ツールでは検出できない脆弱性,例えば動的に生成されたコードなどを検出します。
JFrogは開発ライフサイクルの一部として科协とDASTツールを組み込み,コードがチェックインされるたびに,またコードがリリースされるたびに,科协とDASTのスキャンが実行されます。
JFrog x光——ソフトウェア構成分析(SCA)
JFrog x光はユニバーサルなソフトウェア構成分析(SCA)ソリューションで,Artifactoryとネイティブに統合されており,開発者やDevSecOpsチームがバイナリを簡単にスキャンする方法を提供します。この製品はソースコードおよびライセンスのコンプライアンス違反の脆弱性を運用環境のリリースで明らかにする前に事前に特定し,独自のアプリケーション・セキュリティの価値を提供します。
JFrog x光はJFrog平台を継続的にスキャンしてバイナリレベルで保存されたすべてのパッケージを保護し,蔡先生パイプラインの一部としてセキュリティ・ワークフローを自動化することで,ソフトウェア・リリース・サイクルの早い段階での制御と信頼を実現します。
JFrog x光はArtifactoryとネイティブに統合され,開発者によってダウンロードされたオープンソースのバイナリを含むセキュアなソフトウェア・パッケージのプライマリハブを提供します。
“”。このアプローチではコードを運用環境に出荷する準備が整った時点ではなく,セキュリティとコンプライアンスの問題の検出と修正を早期に開始し,SDLC全体で継続します。
JFrogセキュリティチームは当社独自のJFrog x光製品を使用して,コンテナとソフトウェアのアーティファクトの継続的な多層分析を実行し,内部蔡先生パイプライン全体の脆弱性とライセンス・コンプライアンスの問題を検出します。
JFrogの内部ポリシーは特定のセキュリティ脆弱性が検出された場合にビルドが失敗する原因となり,当社のエンジニアリングチームは業界標準に沿った社内SLAの条件に従って脆弱性を修正します。
JFrog製品に含まれるセキュリティの問題の【翻译★★★★★★★★★★★★★★
ペネトレーションテスト
開発のライフサイクルを完了するために製品と機能は内部的にはJFrogのアプリケーションセキュリティチームによって,外部的にはサードパーティのトップエキスパートによって,継続的にペンテストされます。
【翻译
JFrogのセキュリティチームは製品のセキュリティ改善に向けた取り組みの一環として,HackerOneでホストされているプライベートなバグ報奨金プログラムとプライベートな脆弱性公開プログラムを管理しています。
【中文翻译> >。
変更管理
JFrogのセキュリティチームは高品質な製品を保証し,その品質とビジネス目標との整合性を確保するために,製品に対するすべての変更を追跡し,レビューします。JFrogのセキュリティチームは当社のセキュリティとコンプライアンスの要件を遵守するために,選択した変更に対して安全なコードレビューを実施しています。
Web
マルチレイヤ保護のアプローチの一環として,専用のDDoS軽減エコシステムが導入されています。JFrog, Anti-DDoS, WAF, API。
