JFrog Xray增强SBOM，漏洞管理和威胁分析 - 2022年世界杯赛程时间表

作为我们不断努力为您提供最全面和先进的SDLC保护能力的一部分，JFrog继续提高我们的JFrog x光安全性和遵从性产品。

在这篇博客中，我们概述了最近的x射线改进，所有这些改进都旨在帮助您加强软件，降低风险，扩展安全性，简化合规性和加速软件分发有信心。

继续阅读，了解我们在以下领域的最新进展SBOM(软件物料清单)，git仓库扫描，漏洞数据，Jira集成和威胁上下文分析。

威胁背景分析

安全威胁并非都是平等的。有些是至关重要的，有些风险较小。在理想的情况下，您可以修复SDLC中的每一个漏洞、错误配置和遵从性违规——但是考虑到时间和资源的限制，这是不现实的。因此，您必须优先处理哪些威胁。这就是上下文分析的关键所在。

Xray现在可以智能地扫描你的二进制文件，考虑到上下文。它不只是查看二进制文件或映像，而是采用一种全面的方法来检查它们的环境，包括配置相关性、补丁存在性和编译标志等标准，以确定是否适用CVE。使用这种上下文威胁分析，Xray可以帮助您确定最关键的安全漏洞，以便您可以相应地确定优先级并立即解决它们。

当您快速且持续地检测并修复最关键的安全性和遵从性缺陷时，您可以更快、更自信地发布软件，并防止意外出现问题并减慢您的流程。

另一个新的Xray功能可以帮助DevOps团队更好地评估和优先考虑风险，我们称之为CVE研究和充实。它通过JFrog安全研究团队的独家信息增加了漏洞的公开可用数据。

每个公开的漏洞都被分配了一个CVE(常见漏洞和暴露)编号，以及一个严重等级，它们被列在国家漏洞数据库(NVD)。每个人都可以得到这个信息。

但是JFrog的客户可以获得更深入的技术概述和专有的JFrog严重性评分，这样他们就可以更好地了解cve的风险并优先考虑他们的补救措施。该JFrog信息包括开发的先决条件和详细的技术缓解解决方案。

这是更多的信息关于这个能力。

通过与版本控制系统(VCS)提供商(如GitHub、Bitbucket和GitLab)的集成，Xray现在可以扫描Git存储库，识别其中的OSS依赖，并检测漏洞和违反许可证的情况。客户可以定义策略来触发特定的操作，包括警告违规、失败的拉取请求，以及为依赖项升级创建修复拉取请求。

通过帮助开发人员在其首选工具的UI中检测安全性和遵从性问题，JFrog正在提高您的团队在DevOps周期中尽早、经常地左倾和修复问题的能力。

毫无疑问，软件物料清单(SBOM)已经成为一个关键DevSecOps块，因为它提供了对组成软件块的组件的深入和全面的可见性。

事实上，是去年的白宫关于改善国家网络安全的行政命令强调了SBOM作为“包含在构建软件中使用的各种组件的细节和供应链关系的正式记录”的重要性，并强调“获得SBOM，并使用它来分析已知的漏洞对于管理风险至关重要”。

这就是为什么我们继续支持Xray的SBOM功能，最新的是支持SPDX和CycloneDX标准格式。Xray创建带有机器可读的软件组件和依赖项清单的soms，现在允许您以这两种标准格式导出soms。

SPDX是一个ISO/ iec认可的标准，在开源项目中很受欢迎，而CycloneDX是一个轻量级标准，专为应用程序安全用例和供应链组件分析而设计。

这些新功能将进一步帮助DevOps团队控制和了解他们的软件组件、依赖关系和相关风险。

一个新的，易于配置与Atlassian的Jira集成允许您根据x射线检测到的安全违规行为自动创建Jira票据。在Jira UI中获得这些通知将使已经使用Jira的开发人员更容易、更方便地跟踪和管理代码中其他类型错误的票据。

由于无需切换到Xray，您将能够快速评估、确定优先级并解决检测到的安全和合规问题，将其潜在影响降至最低，并确保您发布的软件安全且合规。