JFrog产品负责人回答swampp与会者的迫切问题
在现场,一群JFrog产品负责人坦率地回答了swampp与会者提出的问题,话题从新宣布的JFrog产品和功能到目前影响DevOps团队的网络安全问题。hth华体会最新官方网站
由于热烈的讨论产生了许多精彩的问题和答案,我们在这里总结了这次会议。
问:你能提供一个新的x光报告功能的更新吗?
A: Dganit Arnon,产品经理:是的,我们最近发布了一个新的JFrog x射线报告模块这允许您生成关于漏洞、许可证和策略违规的任何报告。现在,您可以使用任何高级过滤器在任何需要的范围上创建报告。您可以将其导出为您想要的任何格式—CVSS、JSON文件或PDF—这样您就可以根据需要对其进行更多的分割,或者在第三方系统中使用它。
与所有JFrog功能一样,所有功能都可以通过api获得,因此您也可以将其集成到您的自动化中。
问:你能详细介绍一下新的云原生高可用性功能吗?
答:Evgeny Karasik,高级产品经理:在JFrog平台7.17.4版本之前,像复制、垃圾收集、备份和导出/导入这样的维护任务需要预先定义我们所说的主节点,您可以在YAML中使用Artifactory系统进行配置。这是可以的,但这给我们在云原生环境中的支持带来了挑战,因为集群中的所有节点都应该能够根据定义运行这些任务。
为了解决这个问题,我们开发了一种新的能力这使得集群中的所有节点都可以积极参与这些任务的执行。您只需要启用该功能,并将相关任务分派到相关节点。这样我们就可以提供一个正确的方法来平衡它,并大大简化Artifactory的升级过程JFrog DevOps平台一般来说。
顺便说一下,在新安装中默认是可用的。对于现有客户,他们有一种非常直观的方式来从当前状态迁移,当前状态仍在使用主节点。升级到最新版本后,需要更改配置,其中包括此功能。
问:请提供更多关于冷工件存储功能的细节?
答:Ori Yitzhaki,产品副总裁:这非常令人兴奋的功能计划在下个季度发布。它将让客户从他们目前使用的任何存储中提取部分工作负载,并将它们转移到AWS Glacier等更经济实惠的冷库服务上。我们这样做是因为我们听说许多客户希望保留他们已经在生产环境中部署了多年的应用程序。标准是7年,但我们已经看到应用程序部署了20或30年。所以我们真的很想支持这个用例。
问:我可以在专用分发网络中重新使用我的分发发布包吗?
答:Evgeny Karasik,高级产品经理:是的,当然。发布包的概念在整个平台上是统一的。发布包是工件或组件的不可变集合单软件物料清单(SBOM).您可以使用一个发布包来分发到边缘节点,也可以将其用作缓存预热的一部分专用配电网也当前的发布包完全可以通过PDN分发,因此您可以安全地扩展它们的重用。
问:你能给Xray的自托管版本推荐一个DR(灾难恢复)策略吗?
答:Ori Yitzhaki,产品副总裁:swapamp主题演讲中提出的一个特性是联合存储库它将从头到尾镜像你的整个Artifactory,你可以将它用于DR目的。我们仍在寻找x射线部分,但其中大部分将是配置和策略,所以这是我们可能会添加的东西任务控制作为我们平台全球管理的一部分。
问:我已经有很多使用Jenkins的CI自动化。我如何开始使用JFrog管道?
答:Manisha Sahasrabudhe,产品总监:对于JFrog管线,我们推荐一种分阶段的方法,因为如果你已经在Jenkins或其他CI/CD工具上有很多自动化,你不会完全迁移到JFrog管道一天之内。
首先,你应该识别出你的自动化的差距,比如在Jenkins中没有自动化的任务,这样你就可以开始用JFrog pipeline来完成它。或者识别您正在构建的新应用程序,并使用JFrog pipeline自动化这些应用程序。然后,当您回到一些您可能想要更改的旧自动化时,将其一块一块地迁移到JFrog管线中。
话虽如此,我们确实认识到,无论您的迁移路径如何,您可能仍然在Jenkins上有很多自动化。所以我们已经建立了与Jenkins的原生集成,这是一流的,你可以在Jenkins上有一些工作流程,你可以无缝地将它们与JFrog管道集成,并查看JFrog平台内部的整个端到端管道。
问:如何部署专用配电网?
答:Evgeny Karasik,高级产品经理:生产部署在你的场所。分布节点是一个自包含的可执行二进制文件,您可以将其部署到环境的自动化或引导中。我们将为这个可执行文件提供运行时配置,有了它,您将实现或构建完全在您这边的分布拓扑。这就是为什么我们叫它a私人分销网络。如果您有需要区别对待的特殊区域,您可以完全自由地使用它并根据您的网络需求构建它。它是完全灵活的,可以融入任何类型的环境——混合、虚拟化或裸金属硬件。
产品副总裁Ori Yitzhaki:此外,我们还推出了几个测试版程序,其中一个用于Artifactory Cold Storage功能,另一个用于生产.
问:我们看到了与SCA的强大集成(软件组成分析)。DAST(动态应用程序安全测试)和SAST(静态应用程序安全测试)工具怎么样?
A: Dganit Arnon,产品经理:我们正在研究两者- DAST和SAST的集成-但目前我们没有任何具体的消息要宣布。目前,我们提供了一种非常“左移”的方法,从尽可能早地扫描构建开始。我们刚刚宣布我们将很快扫描源代码依赖项。
Q:我们的团队是Artifactory的新成员,使用Jenkins。如果我们想使用JFrog管道,我们应该从什么开始?
答:Manisha Sahasrabudhe,产品总监:如果团队仍在采用CI/CD的过程中,而您正在使用Jenkins,那么您可以采取几种方法。
一种是同时使用Jenkins和JFrog pipeline。我们有一个詹金斯集成,所以你的工作流程的一部分可以在Jenkins上,一部分在JFrog管道上,你会看到它在JFrog管道上以无缝的方式可视化。
其次,我们愿意为你的团队做一个演示,甚至可能是一个POC(概念证明)来解释你的组织可以使用JFrog管道的所有不同方式,特别是如果你已经在使用Artifactory, Xray和Distribution。我们在JFrog管道中有许多铃铛和口哨,这将使您非常容易地用几个YAML键来创建精简的工作流,而不是脚本化所有内容。这是你会得到的主要好处之一。
问:关于Artifactory的性能测试,我正在使用JMeter性能测试工具使用JFrog CLI测试Artifactory回购的性能。上传10GB的文件大约需要8分钟。将来的Artifactory版本会有什么改进吗?
答:Evgeny Karasik,高级产品经理:我们在Artifactory的最新版本中对其性能进行了显著的增强,不仅仅是上传/下载速度,还包括它的权限管理和一般的访问管理。特别是在上传/下载性能方面,我们专注于整个系统的瓶颈,并发现它在数据库中。在最新版本中,PostgreSQL DB的性能有了显著的提高。
问:请解释签名管道功能的好处。
答:Manisha Sahasrabudhe,产品总监:这个全新的功能是为了在你的软件交付管道因此,您可以确保通过您的管道进行的任何工件,或者例如被部署或提升的工件,都是由管道创建的且未被篡改的工件。因此,创建防篡改管道是该特性的主要安全目标。
例如,您可以有一个创建构建或工件的开发管道,然后在他的本地机器上工作的开发人员尝试修复一个问题并覆盖工件。最后,下一个管道采用该工件并对其进行推广。我们希望检测这些场景,并授权组织在发生这种情况时停止管道。在我的例子中,开发人员的意图是良性的,但是当有人恶意篡改管道时,Signed Pipelines也将帮助您阻止管道操作。它是通过使用元数据来否定的。
的第二个主要好处签署了管道是可追溯性。我们创建一个pipeInfo.json其中包含所有运行的完整跟踪,以及从提交代码到部署代码期间发生在工件上的所有事情。因此您对所有工件都有完整的可追溯性。你知道他们去过哪里,谁研究过他们,他们被部署在哪里,所有的测试等等。
问:Xray的依赖分析是完全基于校验和的匹配包吗?如果是这样,有没有计划进行更深入的包分析,以潜在地处理阴影或UberJars?
A: Dganit Arnon,产品经理:我们已经支持扫描UberJars,这是一个包含许多其他Jar文件的Jar文件,每个Jar文件可能包含其他Jar文件。Xray有许多不同的工作方式,包括校验和和ComponentID。对于每种包类型,我们都有一种特定的方法来逐层检测并递归地打开它。我们为每个UberJar展示了一个完整的依赖树。
问:我可以使用哪些第三方工具来监控JFrog平台?
答:Loreli Cadapan,高级产品总监:我们已经做了大量的工作,以确保我们的客户能够监控JFrog平台。除了与Sumo Logic的原生集成之外,我们还使用Splunk、Elastic和Datadog等可观察性工具构建了其他集成。这些集成利用了FluentD,它允许我们以不可知的方式支持所有这些供应商。这些集成使客户能够使用和可视化来自JFrog平台的日志,并深入了解平台的健康状况,以及有关错误码、HTTP状态码、接受或拒绝登录、数据传输、频繁下载的工件、请求、状态码、最活跃的回购等等的关键操作洞察。
Q:如果Jenkins是为你工作,切换到JFrog管道有什么优势吗?
答:Manisha Sahasrabudhe,产品总监:是的,使用JFrog管道有很多优点。
第一个也是最重要的一点是,它完全集成了所有其他JFrog产品和JFrog平台。hth华体会最新官方网站所以如果你在使用Xray, Distribution或者Artifactory,你可以创建跨越所有这些产品的管道,只需要很少的自定义脚本。hth华体会最新官方网站JFrog管道的目标是允许用户在没有自定义脚本的情况下从头构建管道。我们有预先打包的步骤,称为本地步骤,允许你做很多常见的操作,比如从Artifactory中提取,构建Docker映像分发、部署等等。您可以使用Native Steps在几分钟内创建一个管道。如果您正在使用Artifactory, Jenkins的设计并不是为了让您的生活变得轻松。这是一种更通用的工具。
第二大好处是规模。JFrog pipeline可以扩展到数千个并发构建和数千个并发用户,而我们从许多客户那里听到,使用Jenkins可能会陷入“插件地狱”。由于他们的插件体系结构,如果他们有一个想要升级的特定版本的插件,就会与该插件的其他版本或与其他插件产生冲突。因此,不同的团队最终拥有自己的Jenkins实例。我们还听说Jenkins在处理超过100或150个并发构建时遇到了困难。
使用JFrog管线,您将不会遇到这些问题。它是为规模而建的。
还有很多其他的好处。例如,我们有一个“资源”的概念,它可以帮助您构建跨越不同团队的管道,因此每个2022世界杯阿根廷预选赛赛程团队都可以有一个Dev管道SecOps管道生产管道等等,所有这些都可以使用那些不可变的版本资源系统地构建到所谓的“管道的管道”中。2022世界杯阿根廷预选赛赛程
我们还关注可重用性,因此我们有扩展和模板,可以帮助您定义自己的自定义预打包步骤或资源,并创建完整的管道模板。2022世界杯阿根廷预选赛赛程
我们的目标是帮助您非常轻松地创建管道,并与JFrog平台紧密集成。我们的安全功能也优于Jenkins的功能。
我可以继续谈论使用JFrog pipeline相对于Jenkins的所有其他好处和优势。
产品副总裁Ori Yitzhaki:尝试JFrog管道的一个简单方法是使用JFrog免费订阅层它还包括Artifactory,以及一些x射线功能。它是完全免费的。你甚至不需要提供信用卡。你只需要启动一个环境并开始使用它。
问:从哪个版本的冷工件存储功能可用?这是否意味着Artifactory现在支持多个存储安装—一个用于活动工件,另一个用于冷存储?
答:Ori Yitzhaki,产品副总裁:目前还不知道具体的版本,因为我们仍在开发这个功能,但它将是7的一部分。X代码基础。现在有很多升级的理由:冷存储、通用分发、PDN、联合存储库、项目等等。
在架构方面,我们将支持多个二进制提供程序,但架构的工作方式是使用另一个实例,这是无头的。开发人员和管理员不需要登录。您能够在常规归档中聚合的数据量将对您的持续性能产生影响,我们希望通过将数据转移到冷存储中来确保您能够获得性能优势。
问:除了Xray,我们还使用了另一个工具——WhiteSource——用于开源依赖项扫描。Whitesource有文档说Xray可以连接到我们的Whitesource实例。这是推荐的吗?我记得x射线和白源是竞争对手?
A: Dganit Arnon,产品经理我不确定你指的是哪个文档,但目前WhiteSource和Xray之间没有集成,我们确实在竞争。将Xray与WhiteSource集成的唯一方法是通过我们的定制的集成功能,允许您集成到任何漏洞数据源。
产品副总裁Ori Yitzhaki:我们曾经有一个与WhiteSource的集成,但由于竞争形势和其他原因,它很难维护,所以我们决定弃用这个集成。
问:你能详细介绍一下slack和jfrog的集成吗?
答:Loreli Cadapan,高级产品总监:目前,Slack集成的是与artifactory相关的事件和x射线相关的事件。
当工件被上传,工件被移动,复制或删除时,它会在Slack上通知你,在构建端,当构建被提升时,我们会添加更多的功能。在Xray方面,一旦你设置了Xray政策和手表,你就会收到关于违规行为的Slack通知。
这是建立了盒子,所以你不需要与我们的webhook或任何工作。这些都是整合的。目前我们的SaaS实例可以使用这个功能。我们希望将其与自我管理平台集成。
Slack和Microsoft Teams的集成都是双向的,所以你也可以直接从这些协作工具中采取行动,比如忽略x射线规则。
我们正在寻找测试客户,在我们发布Slack和MSTeams集成之前给我们反馈。
问:JFrog对最近的依赖混淆攻击有什么反应?
答:Evgeny Karasik,高级产品经理:依赖混淆攻击并不新鲜。当攻击者从公共注册中心识别出您在代码上使用的外部包,并上传包含恶意软件的这些包的克隆时,就会发生这种情况。因此,当您无意中从公共存储库获取那些新上传的克隆时,您的代码就会受到感染。
多年来,我们通过对存储库的高级配置为这些情况提供了解决方案。例如,您可以使用排除模式,也可以使用范围包。
然而,我们最近又向前迈出了一步,为我们的客户简化了这些配置,并为我们的存储库引入了一种名为优先解决,您可以在存储库级别打开或关闭该存储库,并标记允许开发人员从中获取工件的可信外部存储库。一旦结果被合并——例如在虚拟存储库下——只有来自已批准存储库的已批准结果才会被合并。然后,您可以消除从未经批准的存储库中获取的工件,这样可以避免成为依赖混淆攻击的受害者。
问:迁移到JFrog项目的建议路径是什么?
答:Evgeny Karasik,高级产品经理:JFrog项目提供了一种独特的功能,因为它不仅仅是为JFrog平台添加功能,而且还影响了您的工作方法。
因此,首先,您应该专注于方法,并确定在您的组织中项目的表示方式。它是应用程序开发项目吗?这是一场发行活动吗?
然后,您可以开始确定作为项目的一部分需要维护哪些类型的资产。从存储库开始,确定您将如何隔离这些存储库,或者如何在不同的项目之间共享这些存储库。例如,如果您有一个通过虚拟或远程存储库在不同项目之间共享的公共注册中心,那么您可能希望将其作为所有人的共享存储库。如果你正在使用JFrog Pipelines,你需要对它的资源做同样的事情。2022世界杯阿根廷预选赛赛程
另一个需要关注的领域是角色。角色是我们在当前权限模型之上引入的抽象。您需要从方法上清楚地了解组织中有哪些类型的角色,以及需要将哪些用户或组应用于这些角色。
在这一点上,您可以开始您的项目。在转向更重要的项目之前,从试点项目或概念验证项目开始是一个很好的实践。
问:您是如何构建您在会议上展示的出色的JFrog-Datadog仪表板的?
答:Loreli Cadapan,高级产品总监:我们与Datadog合作,利用他们的SIEM功能构建了这个开箱即用的集成。这使得客户可以使用开箱即用的仪表板来消费、分析和可视化x射线数据。当x射线公司发现你违反了许可证或者安全漏洞,在这些工具的仪表板中报告并反映出来。
通过这些仪表板,您可以看到您正在运行的软件中发现的违规计数的总体摘要。通过更深入的基于策略和规则的细分,向用户提供所有许可证违规和安全漏洞的聚合计数。客户还可以按类型或严重程度跟踪违规数量。他们还可以深入了解最常发生的漏洞和最受影响的工件和组件。
这里需要注意的重要一点是,我们实际上已经将这些数据转换为这些SIEM工具可以接受的格式,这样客户就可以将它们编织到内部工作流中,以便在Xray报告关键漏洞时通知相关安全团队。
要参与Cold Artifact Storage和JFrog的Slack和Microsoft Teams集成的beta程序,请联系您的JFrog代表。
为了参与私有配电网的测试项目,点击这里.
