使用Microsoft Teams和JFrog消除竖井并加速安全响应

视频记录

大家早上好，下午好，晚上好根据你们今天的出席地点我是Fanette Jobard我将是今天网络研讨会的主持人我们的网络研讨会将是消除隔离和加速与微软团队和Jfrog的安全响应我们很高兴向你们演示和介绍新的Jfrog和微软团队，对不起，内部集成
在我们开始之前先说几件日常事务这次网络研讨会正在录制，所以
不要担心，如果你错过了什么，我们将在24小时内发送录音
如果你对这次研讨会有任何问题请发邮件到webinars jfrog。com
还有一个提醒，请使用你的底部的q a uh聊天窗口
今天我们有专家参加电话会议，我们很高兴回答你们所有的问题，不要害羞
首先我要介绍一下今天的主讲人和议程今天的网络研讨会将由我们主持
maida, JFrog的软件工程师alexis kinslin
微软全球软件架构师maita和Alexis我想有请
非常感谢
就像你今天说的我们会做一个关于微软的网络研讨会
团队作为devops的协作平台以及我们如何集成jfrog
加入微软团队生态系统进行同样的实践我叫Alexis我来自微软
我是一名现代工作解决方案架构师很高兴成为今天的主持人
所以如果你，如果我们考虑，呃，devops，我肯定，如果你来这个
在今天的网络研讨会上你们应该对devops很熟悉所以让我们来设定一下场景
给我们简单概括一下发展的定义通过人员联合的过程
技术方面说，devops的变化是巨大的
部署并用于加速uh软件的实践
开发周期，所以使用devops你加快了速度
你为产品提供的功能和价值，但这也是一种安全的方式
就代码质量而言，随着过程和自动化的实施你的代码质量会
增加，解决方案的安全性也会增加，这是devops的第三个好处
真的是围绕着连续的循环所以你不只是设计，然后建造，然后运输你做的
这是一个持续的循环质量和专业知识的提高
反馈观察要快得多，所以你学得很快，失败也很快
快速学习，但我的意思是，devops总是一个人的过程和
这就是我们今天要深入研究的我们观察到的
当人们能够很好地进行协作时，开发周期就能很好地工作
流畅的合作和糟糕的合作
这也意味着生产力，或者至少你不能从devops中得到所有的好处
我们经常观察到的三件事就是其中有变量或摩擦
循环，所以它们的第一个会围绕循环为什么我们有沉默只是因为
我们有很多人致力于不同的工具和解决方案，所以devops锚就像唯一的一个，不是唯一的
其中一个活动是一系列按顺序进行的活动
在一个循环中，所以你必须一遍又一遍地重复
但是如果工具和解决方案不能相互连接，那么你就会失去这种协作的努力和效果
所以竖井会影响到合作过程的速度和节奏
这些过程和工具是不连接的
这种情况和影响将是一个非最佳的沟通权利
另一件你要避免的事情是如果你有不同的人使用不同的工具可能因为它是到期的
他们不熟悉解决方案或者他们没有解决方案的许可你将在一个
在一个缺乏透明度的文化中，这是不错的收入
哪些小组观察到最好的合作发生在我们称之为，呃
大声说出来，我想告诉大家发生了什么如果你对我的工作不感兴趣
只听不听但至少在默认情况下你可以自由获取信息
所以我们如何消除这种干扰
微软团队是我们所说的协作中心，不仅仅是微软
你可以创建广告，这样你就可以同步或异步聊天
创建会议你可以分享你的屏幕你可以和你的同事进行互动电话
所以你可以合作，这是一个可以轻松合作分享内容的平台
当团队被部署到一个组织的规模时，组织中的任何员工
可以是开发人员、开发工程师、产品经理，甚至是人力资源部或其他部门的人吗
该组织将能够使用微软的提示并进行协作
所以这是第一个关键的方面微软团队真的是协作的推动者
第二，微软团队也是一个平台
当我遇到一个平台时，我的意思是你可以带来并集成你的解决方案
进入微软团队，所以如果你考虑所有的工具和过程，我
前面提到过，您可以将此解决方案引入Microsoft团队和
利用微软团队进行更好的协作，消除障碍，消除隔阂
所以当我提到团队作为一个平台时我们有一个非常广泛的生态系统所以不仅仅是我们
每月有2.7亿活跃用户
平台，所以这是一个大规模采用的解决方案，但你也有一千多个应用程序
可以在商店里买到，其中一些是专门用于devops实践的，所以你有很多
已经存在的解决方案，以及您今天在devops实践中可能使用的最流行的解决方案已经存在了
可开箱即用，也专门设计
集成到微软团队中，对吧，所以它不像在团队中复制粘贴解决方案，它真的是一个很好的
是微软团队的整合所以你只拿相关的东西
而要使软不仅仅是你可以使用的东西
这些都是开箱即用的，但你也可以定制并击败你自己的解决方案
让我们来看看如何将团队映射为devops周期下的协作工具，这里是一个快速的概述
作为devops循环的一部分，你有不同的活动我们会深入到细节但你知道这是这些
不同的活动，通常人们会参与这些不同的活动，但不是所有的活动
您可能对平面化阶段、测试阶段或监视阶段感兴趣，但也可能不感兴趣
所有这些，但无论如何，如果你在应用devops实践，你会经历所有这些活动
所以问题是你将如何组织和建设这个
团队建立合作，使用微软团队的解决方案这是微软团队，这是
你从盒子里拿出来的东西基本上微软团队会重组
“团队”用的是“团队”这个术语，基本上就是一群人在做一个项目
会是一个软件或一个功能或者让我们说，你正在做下一个
你是一个未来的团队，作为一个团队，你需要合作，对吧
为了实现这个目标，你需要组织和创建一个团队，所有的人
这是贯穿整个devops周期的活动的一部分，所以团队的概念将是
分成不同的渠道，一个渠道就相当于开发中的一个活动
正确的循环，这样我的团队就会组织不同的活动，我就会直接得到盒子
来自微软团队的所有沟通工具，所以我们可以聊天，我可以开会
创建电话，我可以创建递归或循环会议，我可以共享文档
我可以把我的应用程序放到这个环境中所有东西都是定制的，所以它不像
一刀切——它实际上是基于您自己的实践而定制的解决方案
你可以调整定制，调整体验，带来对你有意义的解决方案
如果你找不到你需要的解决方案你可以自己建立一个如果我们点击并放大一个
这是我的团队这是我电子商务网站的devops团队然后我会组织
devops循环到通道的不同步骤很有趣的是，一旦你
你是否已经实现了自动化并且知道如何构建一个可以自动化的开发软件
创造这种环境假设第一个团队以一种特定的方式工作你想要复制
这个设计和命名约定所有的步骤
适用于你的组织，然后你可以自动化它，使它可重复所以你会说，创建一个团队选择
模板点击确定，然后命名我们创建的所有通道
自动和所有附加到这些活动的应用程序将被删除
在你的环境中自动部署和激活所以这里我们看到，如果我
作为架构的一部分，我可能会安装我们说世界或者
一个节点，因为我想做笔记，我会分享活动，如果我负责
我将带来的cdci管道应用程序与这个具体的呃
活动，所以我需要带来关于我的代码库和我想知道的发布管道的信息
如果一切顺利投入生产，我的PRR和其他一切在哪里
所有东西都是可定制的所有东西都可以模板化你可以灵活地
根据你的需要整理好工具，让我们来个快速的
一个额外的放大在三个特定的过程或活动的一部分
devops循环第一个是澄清这个非常有趣
很重要，因为我们现在越来越多地工作在一个混合的世界里，所以基本上人
从办公室还是从家里走出来
所以要能够管理你所创建的位置的概念
团队就是我们所说的空间空间是你们合作的地方
你在哪里并不重要，重要的是合作发生在哪里
想想你每天的冲刺假设你在周四早上9点，然后
你有你的约会屏幕会议所以你要做的是我看到在一般通道中有一个
正在进行的会议，所以会议已经开始了，我看到了，你现在可以连接和访问你想要的会议
打开你的摄像机，你会和每个人打招呼，你会参与
这个讨论所以这个交流部分是非常有用的
这需要协调活动，确保每个人都步调一致
好消息是，如果你错过了电话，或者你在不同的时区，不能参加会议
然后你就能得到记录你知道谁参与的录像如果有的话
聊天和讨论在会议期间发生，你甚至可以听录音或你可以
阅读所有在会议中分享的信息，然后你也可以分享你自己的想法，你可以回复你
你能发表评论吗?即使你不在现场你也能参与到讨论中，知道他们说了什么
就拿我说的你可以组织的每日会议为例
这个步骤就像我每周冲刺回顾中的每日scrum会议，作为这个活动的一部分
会分享一些信息，我想分享的一个信息是我的
功能列表，我想更新我在这个功能中的位置以及团队在未来交付中的位置
你在屏幕上看到的是带来的蓝色devops板
直接到微软团队，所以当我和我的团队的其他成员讨论时，每个人都仍然坐在微软
团队和我不需要跳入另一个我将直接分享的外部解决方案
我的屏幕或者每个人都可以在微软团队中访问相同的仪表盘如果你想哦，是的
请访问此url或连接到这两个，以获得访问此问题没有的信息
因为所有的事情都是集中的，并且已经配置好了，所以新成员的入职
团队合作真的很方便你发现和获取信息的方式真的很方便
由此产生的一个结果是合作也增加了
第二个例子就像发布管道在那种情况下，场景有点
作为发行管道的一部分，我想要知道发生了什么，所以我想知道
如果有。如果有什么东西被挡住了假设这是我的响应线的一部分
一门门和一门门要求我不认识一个两三个人的审核
状态，所以有一个手动批准的发布管道，所以什么
会发生在这样的情况下，我被通知进入微软团队说，嘿，我需要你的注意，可以吗
请审阅这个活动并进行验证因为我们需要你们进行验证
释放到下一步发生的另一件有趣的事是事实上
在这种情况下，jfrog发送的所有安全事件现在都可以进入它的通道
有趣是因为可能有人会对这些信息感兴趣，但可能没有权限
到默认的平台，所以现在你打开了，这是大声说出来的概念，这是人们
是否可以进入团队但无法进入杰弗里仍然可以进入信息
他们甚至会回复消息，提到其他人，这样他们就可以
要意识到并告知正在发生的事情所以我们基本上可以
加强在这个过程中可以发生的协作，然后一旦在团队中进行讨论，那么你就可以
将这些信息直接从团队的平台反馈给jfrog，这样就实现了双向沟通
在那里事情被通知到团队与一个扩展的团队合作，然后当
讨论结束了在这个例子中你可以将信息返回到jfrog中，对吧，再一次，我们
将工具中的多个工具连接到微软团队中，在这里进行协作，我们丰富了信息
我们把它推回到原来的系统中
我想和你们分享的最后一个用例是关于事件管理的这个用例非常非常有趣，因为
事件管理是一个棘手的情况基本上你永远不知道
当一个事件发生的时候这只是一个事件的本质所以你不知道会发生什么，所以你
想要能够快速反应，当我说你想要快速反应，你想要采取行动，所以你必须
找到优秀的人来解决问题，在大多数情况下，你想要两样东西
一是确保管理决议的人会参与进来
这是一种安全的气泡所以你不想打扰它们因为它们正专注于解决问题
与此同时，有些人想知道我们在哪里，所以你需要正确地沟通
所以这两者之间是有平衡的，我现在在开会，所以是有平衡的
一个事件，团队连接到微软团队，在此之前，他们收到聊天进入一个团队，他们可能
也收到了一封电子邮件，他们也收到了一条短信，所以基本上发生了一些事情，我们每个人都会吗
加入一个电话，因为要快速反应，你需要合作，你需要有一个面对面的艺术家或
通过视频电话进行远程会议，你可以看到作为会议的一部分，我有一个应用程序
在这种情况下，它是。它是。它是。它是一种古老的管理工具，你
所以所有的参与者都有他们需要讨论的信息知道他们在谈论什么
所有的信息，决策，坚果，将在会议中采取直接
既插入到事件管理系统中也插入到微软团队中所以好处是
这样团队就能直接得到他们需要的所有信息
插入公司的事件管理系统，然后就可以做出结果和决策
分享给更多的观众这样就不会丢失信息也不会
浪费时间，让人们专注于解决方案，然后沟通
方便是因为基本上你只需要访问这个环境就可以访问最新的信息
发生了什么以及蒸汽在分辨率中的位置好的，再次
这就是微软团队如何在协作中促进devops过程以及我们如何删除所有
为了使这个过程更有效，我现在将把这些障碍交给海塔
更多关于jfrog如何集成到Microsoft团队的信息
大家好，我是mahitab，很高兴今天来到这里，我是一名软件人员
与jfrog的合作工程团队一起担任工程师
shape jfrog是一家devops公司帮助你快速进行软件更新我们有一个完整的平台
工具套件，帮助您存储、管理工件、构建二进制文件、qa依赖项、扫描组件
安全问题和快速发布您的软件
所以在jfrog，我们相信在这个世界上，软件是我们所做一切的一部分，我们要保持软件的更新
速度和效率是在devops中进步的唯一途径，这可能也意味着你
改变你管理软件发布的方式，在过去的日子里，应用程序被构建成一个巨大的庞然大物
更新速度慢，构建时间和部署都很麻烦，团队构建了允许的微服务
您可以通过ci CD以更增量的方式合并代码，有时一天多次进行小增量
更改，因此当漏洞公开时，竞赛就开始了，这意味着您需要修复漏洞的开源
在你的应用程序被利用之前x射线可以帮助你通过给予
您可以了解您正在使用的开放源代码的完整视图，以及报告的新漏洞的最早通知，使您能够找到一个
修复这些漏洞非常快
我们今天hth华体会最新官方网站将要讨论的产品是jfrog artifactory和jfrog X-ray，以及微软团队如何在其中提供帮助
与开发和运营合作，jfrog artifactory是一个储存的地方
大型二进制文件和组件，并管理软件发行版的不同版本
x射线是我们的安全和许可遵守工具
Artifactory是我们的通用绑定库管理器，它存储了您的所有代码
现在artifactory真正的亮点在于它能够存储所有的大型二进制文件、工件和文件
与那些二进制文件和可能需要从那些远程存储库拉入的依赖项相关联
Artifactory支持超过27种不同的包类型，包括docker映像库、go模块、NPM等
让artifactory脱颖而出的是包装类型的数量和我们支持制造我们的技术
世界上最通用的二进制存储库管理器所以当一个团队有一堆
不同的编程语言组成了一个软件，或者他们需要在不同的应用程序上工作
环境artifactory可以用于以一种无缝的方式管理所有这些复杂性
为您提供元数据，可以帮助您清楚地了解应用程序中发生的所有事情
Jfrog x射线是用来做软件组成扫描的所有文物在每个仓库和你的
带有x射线的账单可以在发现新的漏洞或出现许可证问题时通知您
Jfrog x-ray的主要分析类型被称为软件组成分析，这意味着它会看你的
Binaries对所有工件和与之相关的依赖项进行递归扫描，因此它可以查看整个过程
每个单独的文件和组件每个构建步骤都向下到容器层，然后进行一次
完成对每个组件的扫描后，它甚至用安全元数据丰富了您的存储库和构件
你会在演示中看到x射线提供的信息为什么你用x射线而不是其他
安全工具的主要原因是它与artifactory的深度集成和提供
x射线使用的二进制文件和文件中所发生的一切都可以通过一个单一的玻璃视图看到
包括1db在内的最及时和全面的漏洞情报数据库
加上其他信息来源，x射线也可以用来减少误报和解决安全和
合规问题尽快与补救信息
因此，扫描开源二进制文件和存储库账单和容器的安全漏洞和许可证
使用x射线，遵从性问题变得很容易。x射线还有助于将二进制文件与内部的大型数据库进行比较
漏洞和公共数据库，它还提供了上下文分析
以确定它们是否可以被利用，以最小化误报
它还支持手工安全任务的细粒度自动化，并检查它创建了详细的影响路径或
对发现的任何漏洞进行分析，并且非常容易进行集成
客户为与微软的集成开发生态系统
团队，我们所做的是，我们可以创建通知，出现在你的频道，作为一个互动卡
是否有关于漏洞的元数据，包括严重级别、描述、文件信息等
您还可以对其中一些文件采取行动，包括选择忽略某些违反，如果您或您的
团队认为这不够严重，也不够相关
因此，让我们熟悉一下今天的用例，了解如何使用jfrog X-ray和Microsoft
在现实场景中管理安全事件的团队
在我们的场景中，我们将讨论一家著名的游戏平台网络初创公司
Spartak是我们今天要讨论的游戏公司，它正在使用数百个开源软件
图书馆，所以我们不能我们不能完全确定是否所有的开源图书馆
都是安全的，是最新的所以摆在我们面前的问题是大约80个软件包
现在使用的都是开源的，每次一个包被拉进来的时候你必须确保具体的
版本没有任何漏洞，但是在部署之初标记为安全的包可能存在漏洞
稍后被发现是脆弱的，而且还没有被修补，这被称为零日漏洞
spartix软件组件“冻伤”已经部署好了而且它似乎有一个刚刚报告的漏洞
这个漏洞是团队用来制作多款游戏的依赖，如果它被利用了
该漏洞将允许黑客通过拒绝服务使所有依赖于冻伤的游戏崩溃
攻击，然后就变成了西班牙裔
这可能会导致一场灾难，所以现在时间是一个很大的因素，幸运的是斯巴达克正在使用jfrog x射线和
一旦这个漏洞被报告给国家漏洞数据库xt就会与
sparx人工存储库中的组件提供了关于这个问题的CV CV详细信息
所以我们下一步要做的就是通知正确的队伍号码
因此，斯巴达克需要提醒开发人员和其他团队，他们负责缓解和补救
问题，他们需要正确的开发团队参与进来，应用修复程序，通过分期qa和
生产，以便固定的应用程序可以重新发布这是开始的地方在
jfrog x10和微软团队之间的集成，因为有许多团队参与管理一个复杂的软件
通过团队渠道提供信息，让我们打破藩篱，在现实中讨论每个问题
时间斯巴达克正在使用jfrog x射线，并已经在他们的通知设置
微软团队频道
让我们看看这个演示是如何进行的你们将会看到我们微软团队的整合
每个意识到问题的成员都允许他们在应用修复程序和新工件时保持更新
上传，所以它可以让团队在发布软件的过程中进行协作，以及在这个用例中的团队成员
开发ops工程师的首席信息官是从事应用程序和应用程序的软件工程师吗
Jfrog管理员，他负责深度团队的运营和开发
现在让我们看看ms团队在spartax软件开发生命周期中是如何扮演重要角色的
所以第一步是在jfrog平台内部x射线发现一个新的漏洞
该信息通过webhook发送到微软团队频道，其中包括问题的摘要
从违规事件是一个严重程度很高的事件可以清楚地看出，可操作卡片也有丰富的信息
对于受影响的工件，它的路径和漏洞组件，这使它更容易识别和
跟踪这个问题
于是，他把这个问题告诉了安全工程师，然后向首席信息安全官和她征税
要求您确保所有的开发团队也都被告知
X-ray可以生成报告，这些报告提供了关于特定存储库或相关问题的详细视图
在特定的时间范围内，确保为cso办公室生成一份报告
同时在jfrock平台内部生成一个报告
我们的安全工程师卡尔调查了这个问题，发现有人已经做了修复
并创建了团队正在使用的软件包的新版本结果是下一个版本
此包的1.15.1是否已经修复了该漏洞
团队让软件工程师参与进来，要求他们引入新的包版本，即1.1 5.1
开发团队引入新包，并上传具有该包的安全版本的二进制文件
包括将其部署到登台服务器，然后准备将其通过构建管道推向生产
在Microsoft团队x射线通道中有一个通知，显示新的二进制文件已上传
在此过程中，我们的开发工程师卡尔重新扫描了上传的工件，并确认没有
在这个版本的应用程序中的漏洞，构建管道然后被踢出作为
应用程序从阶段到测试，然后是qa阶段，最后是生产阶段，在那里它准备好了
部署
然后，软件工程师通知团队构建已经成功推进，开发工程师确认这一点
x射线仍在监控账单的存储库，目前还没有发现任何问题
然后我让大家知道这个应用程序现在上线了汽车会确保他们知道新应用程序已经被扫描过了
没有弱点，当然还有我们办公室的凯瑟琳
是快乐的，这是一个成功，你可以看到jfrog集成
有了微软的团队，团队成员的工作速度要比只有这些信息时快得多
在jfro平台上，你公司的大多数团队成员可能无法登陆jfrog，但是
他们中的许多人将使用微软团队，这是实时信息和沟通能力
在让斯巴达克迅速补救这个问题的渠道中，这个过程将允许公司
在保持发布的应用程序安全的同时加快创新，这是我们的座右铭
最后我想告诉你们的是我们的微软团队集成也有一个总结卡视图
关于你的漏洞和许可证问题，我们发现一些第三方软件包可以附带几十或数百份简历
问题，当你创建你的通知时，默认是我们的摘要视图，它给你所有的摘要
总体上分为高、中、低脆弱性
你可以通过在微软团队的应用程序区搜索jfrog来获得这个应用程序
如果你是jfrog的新手，我们的jfrog软件有一个免费版本，包括x射线安全扫描
您可以从下面的链接获得它，并开始在您的Microsoft团队中创建安全通知
马上
有问题吗，谢谢媒体和亚历克西斯，我
我想我们还有时间提问我们已经在网上有几个问题了第一个问题
一个账户可以连接多个GPD吗
是的，这是可能的，我们支持多租户架构
好的，我们还有一个问题x光是否能实时监控
进入我的应用程序，它是如何工作的x光可以提供实时的
监视，所以当你计划部署的应用程序有所有的工件在一个特定的
存储库，并创建了与之关联的策略和规则
一个特定的手表，手表扫描所有的漏洞或许可证遵从性问题，出现在
只要有新的漏洞出现，它就会自动将其发送回微软
团队和各自的团队成员将得到通知
谢谢，我想这已经是我们的问题了除非我们还有其他问题，那么我们现在就开始吧
到时候也会来的，如果你有任何其他问题，请随时在网络研讨会上给我们发邮件
在jeffrock。com上，它通常会立即进入我的收件箱，我们可以一对一地回答这个问题
我们很快就会把录音寄过去谢谢玛丽塔和亚历克西斯
感谢你们参加今天的网络研讨会，我们期待在网上见到你们
祝你有愉快的一天