JFrog和Vdoo:在一起更好

随着最近收购的Vdoo技术被集成到JFrog的软件中，JFrog的客户将很快享受到从开发到设备的整个软件生命周期的端到端整体安全性JFrog DevOps平台．

这是JFrog和Vdoo领导人在他们的第一次联合网络研讨会上做出的承诺，他们在会上解释了JFrog收购Vdoo的原因，以及这个平台是如何运作的安全性和遵从性功能将会扩展，集成的时间表是什么?

“我们对未来感到非常兴奋。JFrog的首席技术官兼联合创始人Yoav Landman在网络研讨会上表示:“我们正在努力尽快为您提供这一功能。Vdoo & JFrog:从代码到边缘的增强安全性．

统一开发、安全和运营

开发、安全和运维团队之间经常存在脱节和不信任，特别是在大型组织中，但是将它们联合起来的是运行时二进制文件。这是开发人员制作、安全专家扫描、运营商部署和监控的内容。

“这是我们的共同点，”兰德曼说。这也是JFrog认为Vdoo非常适合的一个关键原因:两者都专注于二进制文件。

Vdoo首席执行官兼联合创始人纳提•戴维迪(Nati Davidi)表示:“这一切都与二进制有关。“观察二进制是理解什么是重要的唯一方法。”

Vdoo专注于二进制文件，执行真正的上下文分析，大大降低了误报率，确定了应该优先考虑的最关键问题，并减少了盲点，例如可能导致安全性和合规性差距的错误配置。

同样重要的是，将注意力集中在二进制文件上是真正理解攻击者思想的唯一方法。

通过涵盖软件安全的所有关键方面，JFrog和Vdoo将为开发、安全和运营团队提供一个单一的解决方案，用于全面测试和分析组织的整个软件安全性和遵从性需求。

这样，组织才会有一个协调统一的DevSecOps战略和方法，其中所有团队一致工作，并根据相同的具体证据和指导制定决策。

JFrog开发运维平台

首先了解通用和混合的JFrog DevOps平台的范围是关键，该平台为二进制文件提供端到端的软件发布管理——JFrog称之为BinOps生命周期。

该平台包括工件存储和管理、安全性和遵从性违规检测、CI/CD、分发等等。

近距离观察x光

与Vdoo收购最相关的平台是JFrog Xray软件组合分析(SCA)工具它可以检测开源软件漏洞和许可证遵从性问题。使其区别于竞争对手的主要特点包括:

• IDE集成

Xray可以让您保护软件发布管道和供应链，甚至在您拥有二进制文件之前，从您编写第一行代码和需要应用程序依赖的那一刻开始。Xray将与最流行的ide集成，并允许您从其界面内执行扫描。

• CI / CD集成

一旦构建并打包了软件版本，Xray就会执行SCA，并对其进行编译SBOM，通过独特地进入构建过程并获取有关依赖项和生产工件的信息。它还允许您设置可操作的策略，例如，自动使具有不安全依赖的构建失败。

• 分布的集成

通过与JFrog Distribution的整合，Xray将扫描您的发行SBOM，确保安全推广和软件的分发来生产。

• 生产监控

在软件投入生产后，Xray允许您监视它并检测生产违规，并提供完整的影响分析图，例如，新披露的漏洞，以及补救建议。

x射线监控已经部署的软件的方式是通过其独特的递归扫描和影响分析。x射线是怎么做到的呢?

• 对组件只索引一次，扫描它们并将它们保存在数据库中
• 递归地扫描每一个二进制层，将软件版本分开，并一直扫描到最深处的组件
• 构建一个组件图，并将新的和已知的漏洞匹配到该图
• 创建一个影响分析图，向您显示使您的软件版本易受攻击的错误工件，并将其与您已经部署和分发的产品联系起来

为什么JFrog和Vdoo在一起更好

JFrog从Vdoo中确定了五个主要的价值主张，使其在行业中脱颖而出。

• 加速缓解

Vdoo使用独特的技术和技巧来扫描工件并减少与漏洞相关的噪声。通过在考虑二进制文件和IT环境细节的全面、整体上下文中查看漏洞，Vdoo可确保其发现结果和缓解建议是准确且相关的。

Vdoo将这种针对漏洞和错误配置的情境化、个性化分析称为适用性扫描。从本质上说，这种方法允许Vdoo确定特定的漏洞或配置问题是否确实会影响您的特定工件或二进制文件，因此，基于这种洞察力，您可以根据问题对您的组织的紧迫性和关键程度确定下一步的优先级。

Vdoo不止于检测和分析威胁。它还提供了详细的知识库文章，以及对开发人员友好的关于如何减轻关键漏洞和错误配置的说明。通过将调查结果映射到40多个安全标准，Vdoo还可以快速让您知道您是否符合行业要求和政府法规。

• 全自动零日检测

Vdoo拥有一支安全研究专家团队，能够发现尚未被披露的漏洞，帮助企业领先攻击者一步。事实上，Vdoo是一个授权的CVE编号机构(CNA)，这意味着它可以注册新的漏洞常见漏洞和暴露列表。

除了发现和披露零日漏洞之外，Vdoo的威胁情报团队还提供了有关已知的、公开的漏洞的上下文和见解，因此您可以根据环境的具体情况了解它们对您的软件构成的威胁有多大。

Vdoo扫描工件的每个元素，以查找漏洞和恶意代码，支持编译的二进制文件和源代码，并使用各种技术，包括下一代静态分析，模糊测试和符号执行。它检测恶意OSS软件包，后门和漏洞。

• 通用设备保护

凭借其在物联网安全方面的强大基础，以及在各种设备上的深厚经验，Vdoo为JFrog打开了一个新的端点世界-嵌入式系统，智能手机，服务器等，跨越各种操作系统，架构和移动控制应用程序。

• C/ c++应用程序扫描

通过高级SCA, Vdoo使用基于机器学习的二元相似算法识别C和c++组件，从而补充了JFrog的C和c++的Conan包管理器的功能。此外，Vdoo还可以检测配置问题和零日威胁。

• 运行时的保护

Vdoo的运行时代理以一种量身定制的方式保护运行时环境，因为它是针对它所运行的每个系统自动编译的。它的核心功能是智能白名单，它只允许加载和执行已知和批准的代码。

接下来是什么?

Xray将在今年第三季度增强Vdoo漏洞数据，包括修复建议，并将在2022年与JFrog DevOps平台进行更深层次的集成。

Vdoo首席技术官兼联合创始人Asaf Karaas表示:“我们期待着尽快将这项技术带给所有JFrog客户，因为Vdoo致力于让开发人员在安全方面的生活更轻松。”“这就是我们的愿景。”

按需观看完整的网络研讨会Vdoo & JFrog:从代码到边缘的增强安全性以获得有关Vdoo技术与JFrog DevOps平台集成的所有细节!