博客家

使用JFrog合作伙伴集成驱动DevSecOps可视性

约翰·皮特森

通过约翰·皮特森

7分钟阅读

如果你需要你的团队采取行动,你需要提醒他们已经在寻找的地方。然而,昨天的DevOps实践要求个人处理不相关的事件、多个ui和孤立的技术。未来的DevOps必须使团队具备:

  • 统一的数据
  • 单窗格仪表盘
  • 集成平台

DevSecOps,您将需要知道易受攻击的构建已经部署到生产中的位置,以及在哪里找到应该替换它的正确构建。您如何在您的生态系统的其他部分利用来自Artifactory(您的DevOps唯一真实来源)的重要信息?

JFrog x光的深度递归扫描提供了对构建的持续监督,以识别已知的安全漏洞在应用程序使用的开源依赖项中。你可以设置你的x光手表在Artifactory中监视您的开发、测试和生产存储库,JFrog平台的统一单窗格提供了强大的工具来审查和分析x射线结果。

但这只对那些在日常工作中使用JFrog平台UI的人有用。为了使整个团队能够采取行动,您需要能够通过他们每天用于协作、监视和事件管理的生态系统工具将警报和数据直接发送到办公桌。

让漏洞可见

使用JFrog的生长组合作伙伴集成,您可以将Xray对漏洞和许可证遵从性的扫描结果连接到您的工具范围,并将这些重要的DevSecOps数据交付到合适的人员可以看到的地方。这可以实现快速响应,以调查和补救每个新的警报,并防止不适当的代码部署到生产环境中。

通过JFrog合作伙伴集成实现DevSecOps可视性

协作系统

我们为Slack和Microsoft Teams集成的合作伙伴使您能够将自动消息从Xray发送到您首选的消息传递工具,以实现协作响应。

从Xray发送到协作工具的警报可以定向到个人或组频道,在那里可以看到和审查。每个警报提供漏洞ID、严重性和描述,并标识受影响的工件。

为JFrog DevOps平台集成Slack合作伙伴

β通知

这些集成目前处于有限的beta版本中。如果有兴趣参加,请通过您的JFrog销售代表咨询。


可观察性

一旦您的团队意识到一个漏洞,他们就可以通过首选的分析平台进行调查。JFrog为多个分析工具合作伙伴提供集成和预配置的仪表板。

例如,我们的DataDog的集成提供了一个x射线漏洞的仪表板,以及一个审查JFrog平台性能的仪表板。

用于JFrog DevOps平台可视性的DataDog仪表板

从仪表板中,您可以识别易受攻击的工件,并快速下钻找到您需要了解的关于漏洞的所有信息。

JFrog x射线违规在DataDog仪表板

我们的合作伙伴集成目前还包括分析仪表板应用程序Splunk弹性,普罗米修斯/ Grafana

事件及变更管理

您的IT服务管理(ITSM)系统提供了重要的监督功能,许多IT部门依赖于PagerDuty事件响应平台提高整个组织的可见性和敏捷性。

与JFrogXray的PagerDuty集成,关键人员可以收到由JFrog Xray对工件的深度递归扫描检测到的安全违规PagerDuty事件报告。

JFrog x射线的PagerDuty合作伙伴集成

PagerDuty集成还允许您将x射线警报连接到Atlassian Jira中的项目。

当有人在PagerDuty中查看事件报告时,只需快速单击鼠标,就可以自动将该漏洞注册为Jira项目中的问题。新创建的Jira问题包括有关工件和漏洞的所有信息,这些信息是调查和修复它所需要的。

x射线漏洞是来自PagerDuty的Jira问题

跟踪修复

一旦您通过生态系统全面了解漏洞,您的团队就可以解决它们,以确保您的发布是安全的。

但是在快速移动的持续集成工作流程中,开发人员在修补安全漏洞的同时添加和更改功能。你是如何跟踪每件事的?

JFrog对Jira的合作伙伴集成有助于将问题与已解决的构建连接起来,并跟踪它们在登台过程中的位置。

通过Jira和Artifactory跟踪安全补救

合作闭合循环

正如我们上面看到的,很容易将PagerDuty事件报告转换为新的Jira问题,在跟踪所有错误和功能请求的同一协作工具中。

当开发人员执行VCS签入(例如“git commit”)时,通常遵循的最佳实践是使用那些更改解决的Jira问题密钥来标记它。Artifactory可以从Git收集问题关键消息,作为构建信息的一部分,并将该构建链接到那些Jira问题。

的构建信息的Artifactory仪表板显示了每个引用的Jira问题问题标签,并无缝地提供了一个链接到每个问题的关键在Jira。

当您安装JFrog Artifactory应用程序的Jira在Jira中,可以自动链接到解决安全性和特性问题的构建,从而实现双向连接。

Jira合作伙伴集成JFrog Artifactory

跟踪部署

我们还向Jira应用程序添加了一个功能,以帮助您跟踪部署这些构建的位置。当您将构建部署到环境中并包含必要的信息时,Jira可以列出运行它的所有环境。

完成机器

这些和其他JFrog合作伙伴的集成有助于将您的生态系统从一组孤立的工具变成一个功能齐全的DevSecOps机器。

JFrog DevOps平台使用Artifactory和Xray是中心引擎,为这一切提供动力,使其关于构建的全面知识在您的其他协作工具中可见,以便快速采取行动。

有关详细讨论和演示,请观看我们的演示,DevOps从代码到云的可观察性,这是我们最近的swampUP DevOps会议上的内容。


开始在您自己的系统中探索这些和其他JFrog合作伙伴的集成。如果你还没有使用Artifactory和Xray,你可以开始使用一个免费的JFrog云帐户

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示