依从性很容易与JFrog x射线

作为合规经理，我们经常发现自己处于挣扎之中。我们的责任是维护合规性标准，但为了实现这一目标，我们需要向相关的利益相关者(尤其是业务团队和研发部门)“推销”这个概念。我们被置于证明所需变更和流程的位置，因此被错误地视为业务“阻碍者”而不是推动者。此外，遵从性并不局限于坚持，还包括监视、评估和补救。

最重要的是，遵从性世界正变得越来越复杂，需要经常将新的法规和指导方针吸收到组织中。

PCI SSC设置了严格的安全框架

2019年1月，支付卡行业安全标准委员会(PCI SSC)发布了一个新的安全框架，针对开发支付应用程序的软件公司。这个新框架讨论了软件开发中包含开源软件组件的情况(让我们面对它，我们可以安全地得出结论，它适用于所有软件开发)。

在这个框架中提出了许多要求，主要要求您:

• 管理软件中使用的开源组件的清单。
• 建立一个成熟的流程，用于分析和减少具有已知漏洞的开源组件的使用。
• 监控软件中开源组件中的漏洞，以便在发现新漏洞时发出警报;为开源组件准备适当的预定义补丁策略。
• 使用保护和管理应用程序中的开源组件的工具。
  

因此，上述所有问题导致我们如何从合规方面促进这一过程?我们如何以最小的努力保持遵从性?

x射线来拯救你!

不要害怕，这是JFrog来救援的地方。你所需要做的就是轻松地将JFrog Xray集成到您的CI/CD周期中．

x射线是什么?

x射线是普遍递归的二元分析解决方案，该解决方案与JFrog Artifactory本地集成，以分析软件组件并揭示软件开发生命周期的每个阶段的任何漏洞。它现在随VulnDB一起提供，行业最及时、全面安全漏洞智能数据库，不断更新新的漏洞数据。x光也具有可配置的策略，允许您定义安全和许可遵从性行为规范。简单来说，就是一组规则，可以设置为定义许可/安全标准，并根据需要设置相应的一组自动操作。

JFrog Xray满足您所有的PCI SCC要求

通过使用x射线，你可以:

• 在开发过程中识别漏洞及其来源，从而管理开源组件的清单
• 使用策略监视漏洞，并为漏洞的使用建立流程
• 评估过程是否有效，风险是否被管理到可接受的水平

很明显，通过使用JFrog Xray，您作为合规经理的工作将变得更加容易，至少在新的PCI PSS法规方面是这样。有关JFrog合规认证的更多信息，请访问我们的网站或联系我们．

注意:读者应咨询其法律顾问以确认是否遵守此框架。

你准备好学习更多了吗?请浏览我们的网页免费试用x射线！