阻止安全漏洞进入您的代码

注:这篇博文最后一次更新是在2021年11月7日

随着持续软件部署的发展并成为公认的标准，安全措施变得更加重要。从开发一直到生产，组织中的所有团队都应该采用安全需求。

JFrogIDE集成从开发人员的IDE中为他们提供安全性和遵从性情报。插件/扩展允许用户扫描他们的项目依赖项并查看安全漏洞以及开发期间的许可证遵从性问题。

支持什么?

目前JFrog支持四种IDE集成，它们都使用相同的功能。

• Visual Studio代码扫描Maven、Python、Go和npm项目的依赖项
• IntelliJ IDEA扫描Maven, Gradle, Go, Pypi和npm项目的依赖项
  • 也支持- WebStorm, PyCharm, Android Studio, GoLand
• Eclipse扫描Maven、Gradle和npm项目的依赖项
• Visual Studio-扫描你的NuGet项目依赖关系

插件/扩展中包含什么?

安装完成后，您将在屏幕上看到一个JFrog选项卡。JFrog面板包括一个依赖树视图，其中包含项目的直接依赖在最高层次上过渡依赖当你在树中进一步钻孔时，你可以看到。例如，在Visual Studio Code中:

JFrog x光每当项目中的依赖项发生更改时，自动执行扫描。单击依赖项将显示其详细信息，包括检测到的问题类型、严重级别、版本、许可和问题摘要。例如，在IntelliJ IDEA中:

还可以使用颜色根据严重程度过滤扫描结果，例如，高严重程度显示为红色。此外，如果一个传递依赖在树的底部有一个漏洞或违反，那么它的所有父依赖也将被标记为易受攻击。此视图允许精确定位导致漏洞的传递依赖项。

您可以从树中的依赖项跳转到其在编辑器上的定义。

有很多其他有用的功能，包括在树中搜索依赖项，将鼠标悬停在编辑器中的依赖项上以快速显示有关它的信息，以及直接从pom.xml包中查看许可证。Json、requirements.txt或go.mod。

安全向左移动

更快地交付高度安全的软件需要所有团队的努力，作为您的团队的一部分DevOps工作流．将离开作为DevSecOps使用更多工具的策略使开发人员能够从一开始就阻止任何潜在的威胁，例如安全漏洞和许可证违规。这使得开发团队能够在问题对组织造成任何潜在风险之前轻松缓解问题，从长远来看可以节省时间和金钱。

如果您还没有开始使用JFrog Xray，请访问JFrog网站和开始免费试用．

阅读有关Log4shell