使用JFrog DevOps平台加速您的软件物料清单之旅
世界经济论坛将网络安全威胁列为全球风险之首,因为基础设施攻击、欺诈和数字安全损害了公众对数字系统的信任,并增加了利益相关者的成本。
由于98%的组织依赖于开源软件,客户要求软件材料清单(SBOM)具有更高的透明度,并审计其系统的风险。美国和欧盟的政府机构要求这些披露,今天,82%的组织要么正在生产中使用soms,要么计划在未来6到24个月内使用soms。虽然soms是必要的基础,但要确保您的软件供应链(SSC)具有速度和灵活性,还需要其他关键因素。
为了做好迎接未来的准备,软件生产商必须开发出全面的、机读指令作为SSC自动化的一部分。具有丰富元数据的中央工件管理,以及深度扫描可传递依赖项在第三方组件中,可以跨整个SDLC对所有业务部门进行风险管理。
今天的挑战:用证据在每次交付中建立信任
自动化SBOM生产无处不在
跟踪每个管道中所有组件的来源需要在单个系统下对软件工件进行集中管理,该系统捕获扩展和详细的元数据。只有当每个资产都通过单个系统进行管理时,组织才能识别第三方组件中的所有可传递依赖关系,并自动或按需导出合规SBOM中所需的数据。
利用数据降低风险
只有通过关于软件的深入的、可操作的数据,才能将安全性和遵从性强制构建到DevOps自动化中。需要合适的系统来捕获、摄取、增强和处理SBOM数据,以强制遵守组织的开源安全和许可策略,并在整个SSC中快速修复零日问题。
满足今天和明天的需求
soms必须在一组普遍接受的标准中生成。今天,SPDX和OWASP的CycloneDX是两种最常用和首选的机器可读SBOM格式。然而,不断发展的法规和不断变化的安全环境可能很快就需要围绕工作流、审批和开发人员信息的额外的丰富上下文元数据增强了标准的sbm.
jfrog如何提供帮助:对软件组件的全面洞察
为每个构建带来可见性和控制
通过JFrog Artifactory存储库管理所有软件组件工件来创建操作一致性,JFrog Artifactory存储库是行业标准的二进制管理解决方案,本机支持30多个包和工件类型。丰富的人工元数据跟踪每个软件组件的来源、沿袭和使用,为每个SSC管道中的SBOM报告创建基础。
通过交钥匙soms显示第三方组件中的依赖关系
使用深度二进制扫描穿透第三方组件的不透明性,以发现所有可传递依赖项及其已知漏洞,从而获得完整的SBOM报告。自动生成SPDX和/或CycloneDX SBOM报告,并在软件发布的每一步中建立法规和客户遵从性。
全球防范安全和责任风险
使用SBOM元数据来自动识别所有易受攻击的组件,执行组织范围的许可和漏洞策略。快速追踪你的SSC中零日问题的爆炸半径,以便进行主动修复。通过JFrog的杂交和多重云DevOps功能,全球团队可以使用相同的工件和SBOM元数据进行无缝协作,以获得一致的安全状态。
