使用多云/混合云DMZ | JFrog左移安全性 - 2022年世界杯赛程时间表

左移安全意味着防止开发人员使用不可接受的脆弱软件供应链组件越早越好:在它们第一次构建之前。通过帮助确保不会使用带有已知漏洞的包创建构建，这可以提前节省大量的补救成本。

一些JFrog客户限制使用开源软件(OSS)包只提供给那些经过安全团队筛选和批准的包。在这个DevSecOps在管理实践中，开发人员永远不允许直接使用来自外部公共存储库的包，例如Maven Central或码头工人中心，但必须从内部汲取它们代理库这是由安全团队策划的。

SecOps团队喜欢这种方式，它为他们提供了一种安全优先的方式，可以将威胁排除在每个应用程序之外。开发人员喜欢能够依赖于他们的包的可信目录。部门领导喜欢它在降低成本的同时加速软件交付。

工作原理

JFrog的独特能力，帮助您的操作云灵活-无论您需要将管道段托管在何处，都可以运行它们-有助于启用此可信目录策略。

让我们来看看我们的几个客户是如何使用这种方式的JFrog DevOps平台部署可以跨云进行互操作，以构建和维护用于管理整个组织的OSS组件的前端DMZ。

在本例中，用于管理生产专用存储库的主要JFrog平台部署部署在公司内部安全内部网的服务器上。这些预置存储库是最终将部署到生产环境中的所有二进制文件和构建的开发和登台的“唯一真实来源”。

安全团队为开源维护了一个前端DMZ——一个单独的JFrog平台部署，其唯一目的是代理公共存储库，如Maven和DockerHub。这个DMZ由安全团队管理，提供OSS组件的可信目录。

您可以在任何云中托管您的DMZ。因为它只包含镜像公共存储库(没有私有知识产权)的只读远程存储库，所以安全性要求非常低——DMZ可以安全地占用一个开放的jfrog管理的SaaS云帐户。因为它是JFrog，你可以选择它托管在任何主要的云服务提供商(AWS、谷歌或Azure)上。

在DMZ部署中，JFrog Xray对每个远程存储库执行连续扫描，识别代理中每个包的已知漏洞。通过设置Xray规则、策略和监视，安全团队可以帮助Xray自动决定哪些漏洞太小而无需担心，哪些漏洞严重到需要审查。

Xray可以帮助自动化大多数这些决策——例如自动阻止使用任何具有严重威胁分数的CVE包——并为团队节省大量时间。

其他漏洞可能需要仔细检查，Xray可以提醒安全团队需要检查。

你知道吗?
JFrog的集成为安全团队提供了多种方法来放大来自Xray的警报。是否通过ITSM系统(如PagerDuty或ServiceNow)或协作工具(例如松弛或Microsoft Teams)，团队可以互相提醒采取行动。他们甚至可能希望自动改变创建Jira发行票从x射线跟踪下一步。

x射线警报发送到PagerDuty ITSM

安全团队通过Xray进行管理后，DMZ JFrog部署现在提供了一个可信任的开源组件目录，这些组件已被批准在整个组织中使用。

预置生产系统可以自由地从DMZ中的代理存储库中提取组件——所有可用的组件都被认为是足够安全的。到DMZ区域的VPN连接有助于保证安全连接，防止生产系统受到恶意攻击。

然而，通过VPN提取包会对构建造成严重的速度损失——比从本地存储库提取包慢10倍(或更多，取决于拓扑结构)。为了加快构建时间，DevOps团队可以在预置生产JFrog平台部署中设置远程存储库，以在Artifactory中提供DMZ存储库的本地缓存。

当每个构建都需要最大速度时，可以将DMZ配置为自动将每个新组件从其托管存储库推送复制到生产系统上Artifactory中的等效本地存储库。在这种方法下，产品构建可以保证始终拥有可信组件的本地版本——Ops团队在试图恢复存储空间时不会轻易刷新这些版本。

以这种方式为开源组件使用DMZ提供了几个重要的好处:

当你云灵活时，你可以在任何最适合你的地方托管你的DMZ或你的生产系统——在JFrog管理的云帐户中，或者在云中或预置的自我管理系统中——仍然可以在JFrog平台部署之间进行互操作。

需要亲自看看Xray如何帮助您在Artifactory中维护可信的OSS目录?安排演示我们会告诉你怎么做。