用JFrog x射线扩展安全边界

视频记录

大家好。欢迎参加JFrog的网络研讨会。用JFrog x射线扩展安全边界。我们对今天的内容感到兴奋，我们将与您讨论我们的平台是如何将DevOps和Security的世界融合在一起的。今天的议程，我们将讨论几个主题，包括增强的CVE数据、Jira集成和软件材料清单的创建。废话不多说，让我们开始吧。
让我们从增强的CVE数据开始。让我们从为什么需要这个开始。JFrog Xray需要支持增强的CVE数据有什么大不了的?你可能知道，今天市场上的一个安全产品会给你CVE信息，CVE编号，风险产生，CVSS评分，等等。hth华体会最新官方网站但这漏掉了一些重要的点，重要的信息，这些就是我在这张幻灯片上列出的东西。主要的事情是，关于漏洞本身的信息被识别为这个特定的CVE的一部分，不知为何被遗漏了。我们没有给出…关于到底找到了什么没有太多信息。关于这个特定漏洞如何被利用的信息也有很多缺失，如果在现实世界中已经有人利用了这个漏洞，它也没有给出关于这个漏洞在现实世界中如何被一些恶意行为者利用的现有示例的信息。
而且，最重要的是，它也会给你或不给你其他的缓解方案。大多数工具提供给您的唯一缓解选项是为您提供特定开源包的新版本，您可以移动该版本来补救或修复此问题。但是你可以想象，不是每个用户，不是每个客户都能完全替换这个版本。在这种情况下，理想的解决方案是继续使用相同的版本，但它以某种方式减轻或补救被确定的CVE影响的问题。这正是增强的CVE数据发挥作用的地方。这是由JFrog的内部安全研究团队提供的。
我们现在有一个专门的安全研究团队，他们的工作主要是做研究，找出两件重要的事情。首先，第一是在开源世界中识别新的CVE或更新的自由。其次，也要找出所有现有CVE的新信息。一旦团队发现并发现所有这些新信息，所有这些东西就会被发送出去或与使用Jfrog Xray的客户共享。
这是我们的研究团队增强的CVE数据将给所有JFrog x射线客户或用户带来的一系列好处。主要是关于我们之前讲过的所有内容。它会给你更多的信息，关于到底发现了什么，关于特定的CVE到底发生了什么，以及给你更多关于漏洞的信息，特定的CVE如何被利用，一些真实的例子，最重要的是，如何在不迁移到完全不同的新版本的情况下修复这个问题，这将帮助您继续使用相同的版本，并为您提供一些提示或建议，如何修复这个问题或修复这个问题，即使您继续使用特定开源包的相同版本。
让我们快速看一下产品本身。这是一个特殊码头图像的样本扫描结果，JFrog x射线117版。这里是x射线选项卡，在这里你可以找到x射线扫描完成后给你的所有信息。我从上千个结果中选出第一个结果。这就是来自Jfrog的[听不清00:04:11]研究的CVE信息或关键信息发挥作用的地方。正如你所看到的，这个关键是来自我们所依赖的第三方资源。除此之外，我们现在还有一个来自JFrog安全研究团队的临界或风险评级。这在这个案例中也很关键因为它涉及到这个特殊的CVE。下面这里有很多不同的选项卡，在这里你可以找到这个选项卡，source选项卡，在这里你可以找到摘要，一些描述，还有一些关于易受攻击版本的信息。
所有这些都来自我们的第三方资源。这第一个标签，JFrog研究标签是这个新的增强的CVE信息显示给所有用户。这就是我们在过去的5到10分钟里一直在说的。所有这些数据都来自我们的研究团队，主要是关于发现了什么，这里到底发生了什么，详细解释了发现了什么，为什么发现，以及这有什么大不了的。这里有一堆原因说明为什么我们认为这很重要，这一点已经在上面标注出来了。正如你所看到的，这有一个已经发布的漏洞，任何潜在的恶意行为者都可以使用它，他们想对使用这个特定开源包的所有用户造成一些伤害。
而且，正如你所看到的，还有远程代码执行的可能性，这就是为什么这个在上面被标记为关键的原因。最后，但并非最不重要的是补救信息。就像我说的，不需要完全转向新的不同版本，还有另一种方法可以补救或修复这个问题，那就是利用这个建议，即不扩展这个特定的类。如果你遵循我们给你的建议，你可以继续使用现有的版本，和现在正在使用的版本一样，但你仍然可以补救或修复刚才在x射线扫描中发现的问题。这就是增强的CVE数据的本质所在，这就是它如何帮助您或提供一些好处或优势，并继续使用现有的开源包，而不必完全迁移到我们的全新不同版本。好的。
第一个是Jira集成，然后我将讨论更多的软件材料清单。你们很多人都知道，至少我们知道70%到80%的客户使用Jira作为他们的票务系统。我们曾经被问到过这种类型的积分。我们真正想要做的是通过这个Jira集成我们想要有能力根据Xray看到的违规行为自动创建Jira罚单。使用API集成，我们能够自动创建那些你想要的Jira票。
许多客户问我们的第一个问题是，“哦，它会因为额外的违规而产生数百张罚单吗?”尽管这是一个合理的担忧，但您不必担心，因为我们确保不会在同一检测中创建重复的票据。例如，假设您有一个构建a，有10次检测，我们在15分钟内发布构建B，它也有10次检测。我们实际上只是为这些检测创建了10张罚单。您将无法看到为同一问题、同一组件创建的副本。
你不需要部署你的Jira插件。我知道有些供应商喜欢创建Jira插件，你必须在Jira服务器端安装一些东西。你不需要做这些。当然，我们同时支持Jira云和Jira服务器，这是Jira的on-prem部门。对于我们的客户来说，最大的好处是家庭工作流程，这意味着大多数开发人员和DevOps团队成员已经习惯了使用Jira或票务系统来跟踪他们的工作和进度等工作流程。所以你真的不需要做任何额外的训练。它基本上是基于您所配置的配置创建一个票据。你基本上使用你已经定义的现有工作流[听不清00:08:41]来处理额外的违规。
而且在一些非常大的组织中，我们注意到并不是所有的开发人员都可以通过控制台访问Xrays。这样一来，他们真的需要登录到额外的控制台才能弄清楚发生了什么，因为我们将所有检测信息都包含在票据本身中。好的。我们来谈谈怎么做。这很简单。四个步骤。我也会在演示中展示这个。第一步显然是创建连接概要文件。连接配置文件是什么意思?在这里，您基本上是在选择您希望我们在进行AP身份验证时使用的身份验证类型。 Jira supports OAuth1, OAuth2 and basic authentication. We will support all three of those methods. Typically, OAuth2 is used with the Jira Cloud. OAuth1 is used in some versions of Jira Server deployments.
基本身份验证可用于Jira云以及Jira服务器平台。由您决定要使用哪种类型的身份验证。显然，你需要Jira服务器信息来登录。非常简单，因此您可以使用Jira URL和API令牌创建一个连接配置文件。第二步，在配置了连接之后，输入您希望Xray在创建Jira票据时使用的参数。例如，您希望在某个Jira项目中创建票据，您希望创建特定的发行类型。例如，您可能想说，“这是一个错误”，或者您也可以说，“这是一个安全问题”，例如，您可以创建一个错误类型的安全性。还有一个功能非常强大的选项，可以自动创建标签，给这些票贴上标签，这让它非常强大。
例如，假设我想创建CVE编号作为标签。所以发生的事情是所有用相似标签创建的票，你将能够过滤和排序它们，等等。它让你很容易根据标签过滤这些票这些标签是动态生成的。我也会给你们看的。在某些情况下，假设你有一些自定义的Jira字段你想要根据我们拥有的门票信息来填充。你也可以这样做，你可以创建自定义字段，然后说，“嘿，用这个特定的信息填充这个字段”，我们也会自动地填充它。有了连接概要文件和配置概要文件之后，接下来的事情显然是在规则中创建一个操作。
因此，您正在创建策略来检测违规行为。在操作中，你基本上会说，“创建一个Jira票选项。”还有一个选项是勾选复选框。你只要说"创建吉拉票"一旦你完成了这些，你去看配置文件在那里你只需要选择你在第二步中做的配置文件。非常简单。这实际上帮助您的是，您可以拥有任意数量的连接概要文件和所需数量的配置概要文件，因为您可能有多个想要在其中创建票据的Jira项目。例如，在不同的项目中有不同类型的自定义流，等等。它让你很容易使用任何组合，你可以有一个连接概要文件，你可以有多个配置概要文件。
它实际上使它非常容易取决于一个项目，你想在哪里创建Jira票和什么是现实。好的。在开始演示之前，我只想向您展示一个典型的样票是什么样的。这只是我昨天创建的一个样本票，我还创建了一些标签。CVE自动被添加，这是安全问题被添加，这个CVSS分数是未知的，所以就这样吧。举个简单的例子，看看你拿到票后会是什么样子。准备快速登录。
转到配置侧，点击x射线和设置。你会在这里看到积分。第一个是Jira集成，当然，在我们将它们移动到一个新标签之前，我们已经有了漏洞提要。你可以选择一个新的Jira集成。集成名称，你想选择的身份验证类型。比如说，我只想说它是基本的。你也可以说这是一个Jira服务器或云，你只需要输入Jira URL。建立连接概要文件非常简单。让我们假设您创建了连接概要文件，那么现在您必须创建配置概要文件。我还将快速地向您展示我已经为我的项目创建的一个配置文件。 So profile name, the Jira project that I want to create is in BAD. And you can also see that the moment you configure a connection profile, it’ll show you all different types of project that’s already there on Jira.It automatically pulls down using the API and it’ll show you all the project that are part of Jira. And I want the issue type to be created as bug. Again, this information is available and the real power I was talking about is the different labels that you can create here. I was saying Xray violation type. I want to create Xray severity as a label as well as Xrays CVE as label, so that I’ve chosen three different built-in fields to automatically create as label. And if you scroll down, you’ll see these are all the different labels that it has actually picked up from Jira. And if any of these start with extra end score, these are dynamic labels so depending on the ticket, we actually replace those with those particular values. In case you have any custom mappings, you can add those as well.
在我的项目中，我实际上没有任何已创建的自定义字段。所以很多人可以在这里加上这个。但如果你创建了一个，它会自动拉下你创建的那些自定义Jira字段你就可以使用它们了。现在我不使用它。正如我所说的，我们所有人都有一个担忧，那就是它会给Jira带来很多不同的门票。你可以根据你的舒适程度，通过构建号，包或发布包来检查这个取消的票。我们会自动建议您选择所有这些，这样我们就不会创建重复的门票。
第二步结束了。现在我们有了连接概要文件，有了配置概要文件。下一步基本上是在策略中使用它。我只要点击其中一条规则中的一条政策。我到这里，它是一个非常简单的复选框，上面写着，创建一个Jira票所以对于这个特殊的政策，我说，“创建一个吉拉票。”现在我将回到手表。这就是一切都在一起的地方。我要点击其中一个。正如你所看到的，我实际上在手表中有一个配置配置文件，它基本上是说，“使用这个配置配置文件来创建Jira票。” So all four of these steps are required. And now basically we’ll be able to create Jira tickets for any violations that Xray sees. This is my Jira Cloud instance.
我要点击其中一个。如你所见，创建了不同的标签x射线的所有信息都有。它有详细的信息。再一次，你可以点击其中一个然后通过安全性来过滤这些。这些是我们所有的安全标签，用于我的检测。这是一种非常简单的方法。
我们来谈谈软件物料清单，x射线中的SBOM。这是许多客户一直要求的功能。一个明显的原因是，随着拜登政府关于网络安全的行政命令，他们实际上正在管理几个联邦实体，以确保他们在购买软件时从软件供应商那里获得SBOM。原因很明显，他们想知道明天是否会出现新的漏洞。
他们想要很容易地确定哪些软件部署受到了影响，因为过去这需要几个月的时间，他们想要奖励它，只是为了知道我们是否受到了影响，不应该花几个月的时间。这就是拜登政府通过网络安全行政命令推动所有与联邦实体有业务往来的供应商在采购时发布soms的重要原因。
我们来谈谈什么是SBOM。它基本上是软件组件和依赖项的清单。高水平。这就是它的本质。作为一个软件供应商，当我们向联邦实体销售软件时，他们可能会要求我们提供SBOM，我们会以特定的标准格式提供SBOM，我们在披露方面支持两种标准格式，我会稍微谈谈它们。当然，这个软件组件列表也将包括开源软件和专有软件。
仔细想想，在这个软件生产者、软件购买者和软件运营商的生态系统中，有三种不同的角色。软件制作人显然是我们在这个版本中解决的一个角色，我们希望确保您了解所使用的组件及其核心依赖关系。这正是我们将在第一个版本的SBOM中呈现的内容。在未来的版本中，买家基本上可以从不同的供应商那里获得这些SBOM，他们可以直接将这些SBOM输入到出口产品中，我们将能够扫描并让你知道是否有任何违反，无论是安全还是风险，即使没有真正访问软件本身。显然，操作员或其他角色，每天都在新闻中听到新的漏洞，他们想知道这个新漏洞是否影响了他们的任何部门。这也是我们要用x射线来回答的问题。
我刚才提到，在当前版本中，我们将支持两个标准。大约五个月前，SPDX正式获得批准。这已被批准为ISO标准，在开源项目中非常流行用于许可证检测。Xray实际上支持不同格式的SPDX格式的SBOM。例如，标签值，这是一个文本文件，JSON和XLSX格式是微软Excel格式。我们要支持的另一个标准是CycloneDX。CycloneDX是一个轻量级的SBOM标准，它主要用于应用程序安全上下文中。这也越来越受欢迎，因为它不仅支持软件产品，还可以支持软件服务。hth华体会最新官方网站重点是安全。它还不是一个标准，但它已经在标准的轨道上了，CycloneDX有很多贡献，甚至JFrog也参与了这个标准。 At least in the first version you’ll be able to output the SBOM in CycloneDX format. We are going to be supporting both XML and JSON formats.
那么SBOM中究竟包括什么呢?这对我刚才讲的两种格式都成立。显然，我们将向您显示包名称、包版本以及我们检测到的任何许可证。如果我们有许可证的URL，在某些情况下我们能得到许可证的URL，我们就能显示出来。当然，只要可能，我们会向您展示包或文件的校验和。当我们能够为给定的包计算校验和时，我们将能够显示它。下面是一个典型SBOM的截图。这是来自CycloneDX。它向你展示了一些关于包本身的元数据信息，SHA 256，它的哈希值，包的版本，它是什么类型的许可证，以及你使用的许可证。
佩戴该产品，您将能够导出SBOM。你们都知道，这很简单。我也会在演示中展示这一点。当您转到额外的数据选项卡时，您有操作，在该操作下您将看到将SBOM导出为SPDX或将SBOM导出为CycloneDX。让我快速跳转到演示，展示一下。我很快就会去检查其中一个…，不好意思。actions，你可以看到我有SPDX和CycloneDX。我可以选择其中之一你可以选择不同的下载格式。CycloneDX也是一样。为了便于演示，我不打算向您展示包含数千个条目的文本文件。 This is very simple, very straightforward way to download an SBOM. Can I use APIs to download the SBOMs? Absolutely, yes. We do have an API, obviously it’s called US Export Component Details API. This is an existing API. We just added additional formats to that so you can be able to say that SPDX is true and you can choose which format you want and you’ll be able to download using the API, a given as form as well. So that’s pretty much what I wanted to cover.
感谢JFrog团队，感谢各位来宾今天的参与。请在www.si-fil.com加入我们即将举行的网络研讨会和研讨会。谢谢你！