JFrog高级安全功能概述

企业X SaaS订阅。我们计划在不久的将来支持自托管。您可以在www.si-fil.com/pricing上找到这些价格信息。

容器上下文分析是否节省了开发人员的修复时间?

是的，我们的安全专家的研究表明，这可以减少多达75%的适用cve的修复数量。本质上，这个功能可以帮助您消除任何误报!

x射线是否扫描容器映像以查找SCA工具之类的已知漏洞，或者我是否需要获得高级安全性才能做到这一点?

是的，Xray是一个增强的SCA工具，它可以扫描您的容器映像，以查找开源包或依赖项中的已知cve。它利用我们的高级漏洞数据库从风险为基础的安全和其他公共和私人来源-加上它是增强和更新，每天的基础上，我们的安全研究团队。

您是否支持其他具有高级安全性的容器和IaC技术?

今天，我们支持Docker容器和Terraform IaC文件，但是我们已经在用这些新特性支持其他IaC和包技术，并将很快发布更多支持的版本。

哪些包类型支持密码检测?

密码检测功能是为Docker镜像启动的。

如何查找SBOM中未列出的依赖项?

JFrog Xray不依赖于SBOM来识别依赖项。是的，它确实使用来自工件的构建信息和与工件相关的元数据。但是，基于包类型，它可以自动识别直接和间接依赖并扫描它们。如需更多资料，请参阅://www.si-fil.com/confluence/display/JFROG/Xray+Dependencies+Scan

JAS适用于哪个版本的Artifactory?

7.39.4及以上。

它是使用自我报告的包版本号来识别漏洞还是使用VDOO技术并支持直接扫描二进制文件

Xray使用各种技术来识别给定的包，包括版本、校验和、模糊散列、构建等。Json和直接/间接依赖关系等等。

你有关于Artifactory集成和MS Code集成的更多信息吗?

请参考这个//www.si-fil.com/confluence/display/JFROG/JFrog+Visual+Studio+Extension有关如何在MS Code上安装和使用JFrog扩展的分步说明。请注意，在同一页面上还有一个扩展的视频演示。

扫描器是否支持原始linux图像扫描，二进制文件扫描和压缩包扫描

我假设你问的是能够扫描原始linux图像在“img”格式。目前还不支持这个功能。有关支持包类型，请参阅此链接://www.si-fil.com/confluence/display/JFROG/JFrog+Xray

你能分享一下Artifactory cloud的Advanced Security推出日期吗?

这款先进的安全产品已经上市，并正在推出。请注意，您需要订阅才能启用这些功能。

在服务和应用程序中发现的配置问题有什么区别?

服务暴露是像Envoy Proxy, Etcd, Prometheous等流行OSS中的配置问题。应用程序公开与您对OSS库的使用有关。给每一个例子。

我们将JFrog Xray归类为SCA还是SAST工具?

Xray主要是一个SCA解决方案。高级安全特性是帮助开发人员构建和部署安全应用程序的补充。

您能更详细地解释一下地形存储库扫描吗?

请参考我们的文档://www.si-fil.com/confluence/display/JFROG/Exposures+Scanning+Categories

这是下一个Xray版本吗?

是的，3.59.4版本。请注意，您需要订阅JFrog高级安全性才能启用这些功能。

你认为到2023年，针对mssp的攻击强度会有怎样的发展趋势?

Forrester Research: 2022年应用安全状况报告

我们如何实现一个安全的左移过程，以防止恶意包在生产环境中被使用，比如npm、pypi等，而不使用gate来扫描这些依赖关系?

JFrog Xray已经可以防止恶意软件包。

jfrog如何监控SBOM中未列出的依赖项?

JFrog Xray不依赖于SBOM来识别依赖项。是的，它确实使用来自工件的构建信息和与工件相关的元数据。但是，基于包类型，它可以自动识别直接和间接依赖并扫描它们。如需更多资料，请参阅本网页://www.si-fil.com/confluence/display/JFROG/Xray+Dependencies+Scan

它是否包含在插件中(例如Jenkins, Intellij IDEA, VS Code等)?

上下文分析将成为IDE插件的一部分。

安全更新是否扩大了您的覆盖范围，哪些客户会被吸引到这个产品，或者它们是否应该被视为对现有基础提供更深入的覆盖?

是的，我们确实希望运维和安全部门被这个产品所吸引。新的高级安全解决方案将开发人员、运营和安全团队统一起来，在一个整体、混合、多云平台中保护软件供应链。

成绩单

大家好。欢迎并感谢您参加我们关于JFrog高级安全的网络研讨会。今天，我们将稍微讨论一下供应链安全，以及目前困扰我们解决这些问题的问题，然后介绍JFrog的一个新的安全套件，旨在以整体的方式解决供应链安全问题。关于问答，请随时在聊天框中写下您的问题，我们将在演示结束时解决所有问题。

好了，先自我介绍一下，我叫沙查·曼纳西。我是JFrog安全研究的高级主管。我管理着所有的安全研究团队，所以我们在做CVE分析、恶意软件研究、零日分析和研究，基本上提供了大量的研究信息，这些信息被输入到JFrog的高级安全性和JFrog x射线中，并为这些功能提供动力。

好了，我想开始谈一谈供应链安全攻击，简单介绍一下为什么它们实际上在上升，我们想做些什么。那么，为什么攻击者实际上更喜欢供应链攻击，而不是针对性的零日攻击呢?首先，这是一个非常低成本的攻击，一个供应链攻击，比如编写一个恶意包并将其发布到NPM或PPI，这是一个非常低成本的攻击。我想说，编写一个针对第三方漏洞的漏洞利用程序是一种中等程度的努力，但与找到一个全新的零日漏洞并利用它相比，这仍然不是一种高努力。所以这是供应链安全部分的一个优势。

此外，有很多这些技术，有低的技术技能要求。因此，当您编写恶意包时，您不需要进行逆向工程，也不需要精通漏洞利用开发。你可以只编写一个简单的包并将其发布到开源存储库，这也会导致非常高的传播。在有针对性的零日攻击中，您实际上通常针对一个系统或一个网络。但是如果你写了一个恶意的包或者你利用了一个流行的第三方库的漏洞，它就变成了一个非常高传播的攻击。您可以攻击数万或数十万台机器，有时甚至更多。

从SolarWinds的攻击中我们可以看到的最后一点是，在供应链中，供应商和客户之间存在一种内在的信任关系。举个例子，在太阳风公司，他们提供了一种IT产品，每个人都信任这个产品，但当它有一个后门时，它就会产生巨大的影响，因为没有人预料到会受到这种方式的影响。因此，与零日攻击相比，供应链安全攻击更容易做到这一点。所以基本上我们想要解决供应链安全数据攻击，它们来自多个类别，不仅仅是cve，还有恶意软件包、配置等等。这就是为什么今天我们非常自豪地宣布，我们将引入JFrog高级安全作为我们JFrog平台的额外产品，它与Artifactory和Xray协同工作。

我们将JFrog Xray定位为软件生命周期管理的一站式服务。到目前为止，JFrog Xray主要专注于软件成分分析，但现在有了先进的安全性，我们将全面发展。实际上，我们正在将多个安全工具合并为一个工具，从而从整体上解决问题。我们希望在多个类别中消除安全盲点。因此，如果我们关注软件组合分析和cve，现在我们还想解决暴露的秘密。任何错误配置，滥用流行的第三方库，将基础设施扫描为代码等等，将所有这些东西放在一个平台上都是非常重要的。

它与Jfrog Artifactory一起工作得很漂亮，当然还有x射线。你上传的每件藏物都能被高级安全系统扫描。您可以有来自高级安全性的操作，例如，提醒您或拒绝从Artifactory下载某些工件。所以一切都是无缝的，无论是在检测方面还是在你可以采取的行动方面，这对我们的CICD管道非常重要。

我们在这里展示的一切都是研究成果。例如，在我们的环境中，CVE报告可以大大减少从CVE获得的假阳性数量。我们将发布一项研究，我们看到在常见的用例中，它减少了超过75%的CVE误报，仅仅因为您有感知报告的上下文，而不是仅仅因为安装了包而报告CVE。在整个高级安全过程中，我们不仅要向您展示问题，还要向您展示如何解决问题，这一点非常重要。所以它不仅仅是一个检测平台，它绝对也是一个补救平台。

这些是我们推出的高级安全功能。我们将非常简短地解释每一个，但我们今天的主要亮点是演示，我们将真正深入了解每个功能。当然，大家可以随意提问，我们很乐意详细解释。通过上下文分析，我们扫描容器。我们试图找到开源软件的漏洞，cve，等等。但是，我们不只是报告它们，而是检查包是否存在于您正在扫描的工件中，我们还查看在您正在扫描的图像的上下文中，漏洞是否实际上是可利用的。

所以库中可能存在漏洞，但只有在使用特定API时才会被利用。上下文分析将查看您是否正在使用该API，您是否正在传递使攻击容易受到攻击的参数，以及基本上配置和代码中的所有内容，这些内容决定了CVE是否实际上是可利用的，或者它是否只是一个假阳性。

通过秘密检测，我们可以检测任何暴露在容器中的秘密，这些容器存储在Artifactory中。我们希望防止内部令牌、凭证、私钥等意外泄露。在开发这个功能的过程中，我们也进行了广泛的研究，发现这是一个非常现实的问题。我们发现了数千个活跃的访问令牌，当然，我们后来披露了这些令牌已被撤销。下面两个特性是相互关联的:应用程序库误用和服务配置安全性。

基本上，通过这些特性，我们能够检测到的是公共开源库和服务是否被不安全地使用或配置，这可能会导致攻击。例如，如果您正在使用加密库，但您使用了不安全的API或传递了错误的参数，或者您正在运行一些具有开放管理端口或路由的服务，这是您不应该做的，并且它会导致安全影响。我们检测到它，并告诉你如何解决它。

最后，但并非最不重要的是，我们有基础设施是代码安全性分析。所以基本上每个IAC文件都存储在JFrog Artifactory中，它目前支持terraform，我们检查那个模块，JFrog高级安全系统会自动发现模块配置中的安全问题，以及IAC模块是如何部署的。对于每一个问题，我们当然会告诉你问题在Terraform模块中的位置以及如何以基于副本的方式解决它，这非常重要。

当然，所有这些都建立在Xray强大的软件组合分析能力之上。我们保留了我们的SBOM漏洞，发现许可证和许可证上的策略违规和操作风险，这是由包元数据推动的，比如显示哪些包可能不喜欢使用，因为它们的提交和健康状况，等等。还有恶意包，这是一个相当新的功能，当然我们在这个版本中保留和升级，它依赖于我们的管理数据库，目前包含来自NPM和PyPi的超过17,000个恶意包，它们目前拥有最普遍的恶意软件数量，并允许您非常容易地检测恶意包是否直接或间接依赖于您。

好，让我们看看所有这些是如何与JFrog平台协同工作的，让我们看看这些特性在运行时的情况。好了，现在切换到JFrog平台。我们在这里有一个新的UI，扫描列表，你可以直接通过x射线查看所有扫描的工件，而不是通过Artifactory。进入docker类型的artifact，不好意思，是docker类型的repository。我将介绍最新的人工制品我将从漏洞视图开始。

我们的漏洞报告最棒的是，首先是上下文分析，你可以在这里看到我们的JFrog研究扩展信息，任何有绿色烧杯图标的东西，你可以看到有很多。这些漏洞包含了我们精心策划的研究数据。我们从其中一个开始。例如，这是一个YAML漏洞。

该问题是一个非常严重的代码注入问题。这会导致远程代码执行。基本上，如果你使用YAML并且你调用一个特定的API并将用户输入传递给它，那么你很容易受到远程代码执行的影响。所以让我们看看当你通过NVD看它时，这个漏洞会是什么样子。这是公共数据。它没有格式化，你可以看到它不包含这些信息，但是当你用扩展的JFrog研究信息来看它时，首先，你会得到更多的细节。您将获得此漏洞何时可被利用的代码片段。您可以通过配置或代码更改获得补救，我们如何在不升级到固定版本的情况下修复此漏洞。有时你不能升级或者暂时不能升级。所以我们提供了一个复制粘贴的解决方案，以及如何在不升级版本的情况下解决问题。

我们给自己的JFrog严重性。通常严重程度低于公众，例如NVD严重程度，往往非常高。所以通常我们的严重程度较低，当然这取决于脆弱性。有时它甚至比NVD或其他出版物，如Red Hat，等等都要高。但非常重要的是，当我们给出一个严厉的惩罚时，我们总是会告诉你为什么要这么严厉。例如，在这种情况下，它是一个临界严重性，因为它会导致非常严重的影响。利用这些问题的先决条件实际上是非常普遍的。传递实际上不受信任的YAML数据是很常见的。这就是为什么这是一个非常严重的问题。

在这里，语境分析是非常重要的。这实际上显示了它是否扫描了图像中的第一方供应商代码，并显示了该图像中的漏洞是否可以被利用。

首先，在上下文分析中，对于每一个，我们会告诉你扫描仪实际寻找的是什么。例如，这里扫描器检查是否调用了一个易受攻击的函数，或者是否启动了一个易受攻击的类，并向它发送了不可信的输入。因此，只有当这些条件适用时，漏洞才会被标记为适用或不适用。在这种情况下，它是适用的。我们将向您显示发生此问题的文件路径以及出现此问题的代码行。

我们也可以在ID插件中看到这一点。所以这是我们向左转努力的一部分。我们拥有与JFrog平台相同的功能，并且集成在JFrog的ID插件中。举个例子，在你写代码的时候，如果你使用了易受攻击的函数，而它是这个依赖项的一个易受攻击的版本，这是不同的CVE，但它会告诉你在哪里使用了易受攻击的函数以及漏洞本身的描述。因此，这可以帮助您在编写代码时管理并且避免暴露于漏洞。

好了，这是一个适用漏洞的例子，但我们也可以在这里看到非适用漏洞。在这种情况下，你也有所有的研究数据，但在上下文分析中，我们告诉你，例如，在这种情况下，它是不适用的，因为一个易受攻击的函数永远不会被外部输入调用。再说一次，我们总是告诉你扫描仪是做什么的，它在找什么，所以它会100%清楚为什么说它是否适用。

这也集成到我们的策略引擎中。例如，你可以有这样一个策略，“好吧，我想对每个关键漏洞或高严重性漏洞发出警报，或者通过cve评分发出警报，但实际上，如果这个漏洞不适用，那么我不想收到警报。”因此，这实际上可以让你收到更少的警报，而这些警报现在无法利用你。实际上，在我们最近对Docker Hub中排名前200位的集装箱进行的研究中，我们的假阳性cve减少了78%。因此，这个功能实际上可以节省大量的工程工作时间，我们非常自豪地将它作为高级安全的一部分推出。

好了，这些是漏洞视图下的新内容跳转到恶意包。就像我说的，这是我们软件成分分析的一部分。我们在这里的主要区别在于我们拥有的包的数据量和我们管理的包的数量。这是研究团队自己做的事情。所以我们有自己的定制恶意软件包数据库，真阳性率非常高，因为我们的软件包是唯一匹配的，所以没有任何假阳性被忽视，这有助于确保你没有直接或间接地使用任何恶意软件包。接下来是秘密。举个例子，让我们看看这里的一个发现。

因此，在这个发现中，我们可以看到映像上留下了一个配置文件，它具有AWS访问ID或访问密钥。目前在一般可用性中，我们支持超过250种凭据类型，这些凭据类型经过高度管理以消除任何误报模式。对于每种模式类型，我们都有一个特定的模式或标记，所以没有通用的发现，这真的帮助我们减少了误报的数量。这是经过测试的，实际上有800万件文物。此外，我们将在我们的博客上发布研究结果，这有助于找到数千个具有此功能的活动令牌。所以测试水平很高。与往常一样，我们将向您展示如何撤销，例如，如果是AWS密钥，如何撤销密钥，以便在找到密钥后您可以保持安全。

接下来是服务，正如我在这里提到的，x射线可以检测流行的第三方服务的错误配置和滥用，恶魔，任何可能导致安全问题的东西。所以让我们看看其中一个发现，在图像中使用了代理，但是管理界面是对外暴露的。所以，正如你在这里看到的，我们得到了发现的证据，确切的文件路径，证据的行，包括数量和内容。非常重要的是，我们用通俗易懂的语言告诉你这个问题是怎么回事，一个详细的描述，如果你不解决这个问题，你可能会受到什么样的影响。非常重要的是，只是一个复制粘贴解决方案，比如，“找到这个文件，删除密钥或复制，粘贴这些行，你就没事了。”对我们来说，展示如何解决问题是非常重要的，而不仅仅是显示有一个问题，并且有一个复制粘贴解决方案100%的问题，JFrog Xray检测。

在应用程序视图中，我们可以看到另一个例子。这次让我们看一个代码示例，而不是配置示例。在这里，JFrog Xray对Python代码进行了静态分析，发现它试图获得HTTPS URL，但它禁用了SSL验证。当然，这意味着您可能容易受到SSL中间人攻击的影响，这里详细介绍了具体的影响。所以即使你不熟悉这些类型的攻击，这里也有详细的介绍，它的确切原因和影响是什么。正如我们前面展示的复制粘贴解决方案来解决这个问题。

最后但并非最不重要的是，让我们看看基础设施是代码扫描。这里我们有多个Terraform模块的扫描。让我们来看看其中一个发现。例如，我们可以看到其中一个模块包含AWS、API网关的部署。在这个模块中，我们发现这个API网关方法的授权被禁用了对于几个API网关方法。我们再一次向你展示这是什么意思。在这种情况下，公共攻击者可能会滥用这个API，试图破解它，试图暴力破解它，如果这个API有授权，这是不会发生的。对于每一个问题，我们都展示了如何在一个易受攻击的例子和一个安全的例子中解决这个问题。

好了，我们可以回到幻灯片了。很高兴推出JFrog高级安全功能。我很高兴地宣布，你今天可以免费试用它。到这个URL www.si-fil.com/startfree。你可以自己体验这个功能，上传你自己的图片，看看那里发现了什么样的漏洞，看看误报率的改善，看看所有可能泄露的秘密，以及我们所有令人兴奋的新功能。很高兴能展示这个，大家可以免费试用，我很乐意回答聊天框里的任何问题。让我们看看有什么问题，或者现在可以随时写下任何问题。我很乐意澄清这些特性或回答任何相关的问题。非常感谢大家，让我们看看问题。

非常感谢Shachar的演讲和演示。今天我们请来了JFrog x光团队来回答大家的问题。作为一个友好的提醒，请将您的问题添加到问答部分，以便我们解决它们。让我们开始吧。高级安全性的定价选择是什么?

这是一个很好的问题。因此，我要在这里提到的第一件事是，我们目前推出的JFrog高级安全性仅针对我们的任务客户。我们的Salesforce客户将来将能够获得这种功能。但是现在，如果你想了解高级安全的定价选择的细节，最好的资源是访问www.si-fil.com/pricing，你应该能够从那里获得所有的信息。

太好了，谢谢。下一个问题，容器上下文分析是否节省了开发人员的修复时间?

绝对是的。很多时候，许多SDA工具或较软的组合分析工具会查看版本号并识别与之相关的所有漏洞。然而，Xray所做的是进行漏洞检测并尝试识别它是否真的易受攻击，如果你的应用程序真的易受攻击，然后它会允许你优先考虑哪些是真正适用于你的情况的，你如何使用开源库你将能够决定哪些是修复哪些是不修复的，或者推迟。所以根据我们读到的一些统计数据，75%的Wonder应用程序基本上都是不可导出的。因此，它实际上可以帮助开发人员找出并优先考虑应该修复哪些数据。

哇，知道这个太好了。x射线是否扫描容器映像以查找已知漏洞，如SDA工具，或者我是否需要获得高级安全性才能做到这一点?

因此，Xray是一种增强的SDA工具或软件成分分析工具。因此，我们今天所做的显然是作为一个软件组合和分析工具，我们正在扫描开源漏洞、开源许可风险，以及与使用开源相关的操作风险。然而，使用高级安全性，我们允许您做的不仅仅是安全开发，我们还希望确保您也在部署应用程序。因此，XR今天所做的是我们先进的安全功能，远远超过任何SDA工具所能做的。

太好了。您是否支持其他具有高级安全性的容器和IEC技术?

这是一个非常好的问题。所以我们从Docker容器和我们的IAC技术Terraform开始，特别是与供应商，AWS, Azure和GCP。所以这几乎涵盖了我们的客户今天在他们的技术堆栈中使用的大部分内容。我们确实计划在未来将其扩展到，例如，AWS云形成或作为资源管理器，但目前它是与AWS、Azure和GCP提供商合作的Terraform。

哪些包类型支持密码检测?

所以秘密的扫描能力，我想这就是问题所在。我们今天在产品中拥有的秘密扫描功能是针对Docker容器的。所以我们都知道，我们都会犯错误，开发人员有时会在Docker映像中留下SSH密钥，API密钥等，我们想确保如果你的任何代码或文件有任何秘密信息，我们想要标记这些信息。

如何查找SBOM中未列出的依赖项?

这是个很好的问题。因此，JFrog并不仅仅依赖于SBOM来识别其他依赖项。是的，它确实使用Artifactory中的建筑和与工件相关的元数据。然而，基于我们扫描的包，它可以自动识别直接和间接依赖并扫描它们。你也可以查阅我们的文档。如果它只是Xray依赖项扫描的谷歌，那么您可以确定实际上Xray的扫描依赖项是如何被SBOM识别或不识别的。

太好了。JFrog高级安全在哪个版本的Artifactory中可用?

基本版本是7.39.4。所以关于7.39.4的任何内容，您都应该能够启用这些功能。

谢谢你！它是使用自我报告的包版本号来识别漏洞，还是使用BD技术并支持直接扫描二进制文件?

所以x射线使用多种技术来识别一个给定的包裹。这可能只是版本，模糊散列，校验和，[听不清00:28:43]直接和间接依赖关系等等。因此，Xray在内部使用了很多技术来识别包和与包相关的版本号。

你有关于Artifactory MS代码集成的更多信息吗?

你能做的最简单的事情就是查找JFrog ID集成，你会看到文档和所有关于如何启用的信息。YouTube上也有视频教你如何安装扩展，如何使用等等。所以我强烈建议你去JFrog文档页面搜索visual studio扩展或IDE扩展。

扫描器是否支持Linux RAW图像扫描、二进制文件扫描和zip包扫描?

简短的回答是肯定的。但是，请记住，我们已经能够提取大多数存档类型，但如果您考虑的是IMG格式的RAW Linux映像，我们不支持。例如，我们不支持ISO格式。但是，Xray支持的软件包有一个详尽的列表。你可以在Jrog x射线文档中查找。我们现在支持的软件包超过22或25个，而且Xray可以扫描的软件包有很多。

谢谢你！你能分享一下Artifactory cloud的高级安全部署日期吗?

因此，自10月18日起，高级安全功能已普遍可用。它目前正在向我们的客户推出。请注意，你需要一个订阅。仅仅因为你得到了[听不清00:30:48]JFrog x射线并不意味着你能看到这些能力。您确实需要订阅才能在产品中启用这些功能。

太好了。在服务和应用程序中发现的配置问题有什么区别?

这是一个非常好的问题。因此，服务公开主要是对大多数流行的开源项目的配置扫描，这些项目通常用于微服务架构。例如Envoy Proxy, etcd, Prometheus，用于监控。这些是常见的应用。我们会查看它们的配置，看看您是否知道它们没有按照这些开源服务的最佳实践进行配置，我们将能够标记这些配置。这就是服务公开。

在应用程序公开网站上，我们主要关注您如何在代码中、在第一方代码中使用开源库。例如，假设你有一个Python代码，有人因为某种原因在Python代码中打开了一个shell，我们会标记它并说，“嘿，这违反了最佳实践，我们会给你一些例子来解决这些问题。”

您将JFrog Xray归类为SCA还是SaaS工具?

原谅我。Xray肯定不是一个SaaS工具，但我们确实有几个SaaS功能。例如，我们确实提倡安全编码实践，如果我们看到任何违反最佳实践的代码，我们也会标记它们。因此，Xray所做的比典型的SaaS工具所能做的要多得多。然而，我们通常认为x射线是一种软件成分分析工具。用于检测使用开源软件的100天风险、许可证风险和操作风险。除了先进的安全特性外，我们还试图帮助开发人员构建和部署安全的应用程序。

您能更详细地解释一下Terraform存储库扫描吗?

所以我认为我能建议的最好的事情就是看看我们的文档，你可以在我们的网站上查找有关曝光扫描类别的信息，或者你可以查看我们的发布说明，其中有很多关于x射线如何扫描Terraform状态文件和标记问题的文档，这些问题与你在Terraform文件中定义基础设施的方式有关。

下一个XRay版本会有高级安全功能吗?

所以，我们必须非常清楚，高级安全功能是额外订阅的。因此，仅仅因为您获得了最新版本的Xray并不意味着您将能够使用这个新版本的所有功能。如果您希望能够使用高级安全特性，您仍然需要申请许可证。

谢谢你！你认为到2023年，针对mssp的攻击强度会有什么样的发展趋势?

GFR研究团队实际上在这方面有很多很好的内容，所以我建议你去research.JFrog.com。另外，我想给你们指出的另一个资源是Forester Research，他们对此做了很好的分析，他们有一份报告，名为2022年应用程序安全状态。你可能想查一下它确实给了你很多关于攻击轨迹的数据之类的。

在不使用Gates扫描这些依赖关系的情况下，我们如何实现一个安全的左移过程，以减少在生产中不使用的恶意软件包，如NPM、iBUY等?

不使用Gates来扫描这些依赖项。所以我认为很明显JFrog x射线今天已经检测到恶意包，我们能够失败构建并采取行动，这是x射线扫描的一部分。因此，如果没有真正的扫描，我真的不确定你如何能够检测到恶意软件包，但如果你正在使用x射线，我们已经在帮助你检测这些。

JFrog如何监控SBOM中未列出的依赖项?

丽贝卡，我想这是我们之前遇到过的一个类似的问题。因此，Xray不仅依赖于SBOM来识别依赖关系，它还会查看Artifactory的内置表单，以及与工件相关的元数据。它可以自动识别与每个组件相关的直接和间接依赖关系。我能告诉你的最好的事情就是看看x射线是如何进行依赖扫描的。因此，如果您访问JFrog文档站点并搜索依赖项扫描，您将获得更多关于我们如何能够识别本文档中可能列出或可能没有列出的内容的信息。

JFrog高级安全是否包含在插件中，例如，Jenkins或VS code?

首先，我们将在id中实现上下文分析功能。因此，如果您使用ID插件，则需要定义依赖项，并且上下文分析将在编码时识别与依赖项相关的漏洞。它会告诉你这是一个CV它与你刚刚定义的这个特定分量有关。不仅如此，它还会告诉你使用的方式，或者如果你使用的函数或方法受到影响，它会说，嘿，这不是使用它的方式你知道，如果你这样使用它会使它容易受到攻击所以我们确实整合了上下文分析。至于其他功能，IAC扫描作为ID插件的一部分将在未来推出。

谢谢你今天的最后一个问题。安全更新是否扩大了您的覆盖范围，哪些客户会被吸引到这个产品，或者它们是否应该被视为对现有基础提供更深入的覆盖?

我认为我们将这些能力定位于三个角色，对吧?首先，显然是开发者。我们正忙着把所有的责任交给像你们一样的开发人员。基础设施现在有代码了。开发人员也在定义代码。所以我们的目标是开发者。我们也瞄准了安全行动。因此，安全团队现在能够查看由开发人员定义的基础设施，他们可以说，“嘿，你正在将这些[听不清00:38:22]暴露给外部世界，或者这些内部服务正在暴露给外部世界，”诸如此类的事情。因此，我们的目标是开发人员、安全团队、运维或DevOps团队，以确保应用程序安全开发、安全部署和操作安全。

太好了。非常感谢你，Sharan。谢谢你，沙查尔和x光安全小组。我们非常兴奋地向在座的各位展示这些新功能。请注意，我们有即将到来的演示，如果你想加入。如果您想与JFrog的客户主管交谈，请随时在www.si-fil.com/advance-security预订演示。谢谢大家，祝你们今天愉快。