La sécurité DevOps enfin disponible !| Lancement de JFrog高级安全

Aujourd 'hui s 'annonce comme un jour décisif pour JFrog et une évolution marché不可抗力pour la sécurité de bout-en-bout de la chaîne d 'approvisionnement logicielle。Nous avons lancéJFrog高级安全， notre solution unique de sécurité spécifiquement pensée et conçue pour les workflow DevOps modernes。

Les développeurs et l 'infrastructure DevOps constituent désormais un vecteur d 'attaque substantiel pour Les网络攻击者。L 'hétérogénéité des outils et des des过程，无指数指数的类比bibliothèques开源et de binaires utilisés, peuvent tous， à tout moment，介绍des failure tout au long de la chaîne d 'approvisionnement。负责软件供应链，les équipes DevOps se voient également chargées de facto, de sa sécurité。En parallèle, les équipes sécurité tentent de trouver le bon équilibre entre les différents outils，配置和报告影响leur quotidien。

Actuellement, aucune solution sur le marché n 'est capable de fédérer de manière adéquate ces différents métiers ou de fournir des données et des information unifiées。Les équipes sécurité rest Les donneurs d ' orre pour des dev submergés Les demand, procsus et réglementations qui sont pas de leur ressort。En oute, les équipes sont aussi impactées par une multide solutions répondant à un seul cas d 'usage business nécessitant une intégration technologique, du reporting et des agrégations corrélées。Elles demanden out e de la part des équipes, des analyses et des évaluations manuelles et proposent une une de conils de contextualisation et de remédiation non centralisés。

Le marché requiert aujourd 'hui une approche différente，加上整体，pour faire face aux nouvelles威胁de sécurité ciblant la chaîne d 'approvisionnement logicielle。

Sécurité pour le DevOps

先锋队的问题，双轮轮，技术与视觉液体的软件,JFrog继续sa进展loggique (mais cohérente) vers une gestion logicielle complète - du développement à la生产，avec la sécurité comme合成剂等催化剂décisif。

De nombreux facteurs clés巴黎许可变换，注解:

Le定位独特的de la平台de青蛙， véritable liant entre les développeurs, la production et les équipes sécurité， permettant de gérer et de contrôler la chaîne d’approvisionnement。

La de récents événements de sécurité à堡冲击，à l 'instar deLog4Shell，Spring4Shell，SolarWinds，等，要求une nouvelle approach de la sécurité tout au long de la chaîne d 'approvisionnement logicielle, et pas uniquement une approach shift left centrée sur l 'analyse du code source。

新生事物等réglementations en matière De sécuritéRatifiées presque de manière hebdomadaire, ont联合国对企业和公共组织的影响。帕尔米ces dernières on peut citer l ' ordonance présidentielle de mai 2021, le récent projet de loi7900号决议Et le décret dula Maison Blanche的项目和预算局Visant l 'amélioration de la sécurité de la chaîne d 'approvisionnement logicielle grâce à des pratiques de développement加上sécurisées。安可加récemment，在peut citer les新指令供应链du国家网络安全中心du Royaume-Uni et une initiative附加联盟européenne。

L 'approche binaire独特的de JFrog fournit un niveau de compréhension加上élevé bien au-delà du代码源，重要的de L 'intelligence sur les risques réels de sécurité dans le logiciel。

DEVELOPPEUR / DEVOPS /安全炸药

La sécurité à partir d 'une source de vérité unique

Des millions de développeurs au sein de milliers d ' enterprises à travers le monde, don la majorité du Fortune 100, s ' appuent d 'ores et déjà sur les solutions JFrog pour gérer en toute sécurité leurs chaînes d 'approvisionnement logicielles批评。La平台JFrog se位置，从源头vérité独特的和centralisée pour La geestion de leurs actifs logiciels sensibles que sont les fichiers binaires。Les fournisseurs de sécurité qui ententent proposer de véritables solutions de protection de bout-en-bout dépendent entièrement de l 'accès à ces actifs。Après tout, il n 'y pas de shift left ou de shift right sans un bon contrôle du milieu !

L ' approach«左移»est limitée

L 'analyse du code source (Outils SCA et AST - SAST, DAST et autres fuzzer，等等)n 'est pas suffisante pour répondre aux besoins d 'analyse contextuelle。Cette dernière ne peut être obtenue qu 'en s 'intéressant au binaire logiciel car il comporte beaucoup加上d ' information que le code seul。Les contenurs, Les archives et même Les simples fichiers EPM fournissent tous une image du parcours logiciel。Le binaire étant l 'actif ultime livré aux clients, il est de facto fortement ciblé par les cybercriminels。没有必要的信息，这是不可能的compréhension有必要的信息déterminer危险。Les dysfunctionnements ne peuvent pas être identifiés, corrigés, atténués ou résolus de manière efface et hiérarchisée lorsque l 'accent est mis uniquement sur l 'IDE du développeur c 'est -à-dire le源代码。La sécurité doit en effet être gérée de manière整体性，du code au code compilé， en passant par les images, les builds, les versions, puis l 'exécution。

Pousser les tests jusqu ' à la生产est不合格倒la sécurité du run

Les solution qui se concentration sur la sécurité lors de l 'exécution et de la mise en production (sécurité du cloud et des conteneurs) font un peu de shift left, mais ne von pas aussi loin que Les pure-players。Ils le字体surtout pour répondre à leurs besoins c 'est -à-dire la remontée aux développeurs des résultats de la生产通过les procsus DevOps。

Une solution de sécurité de la chaîne d ' approvisionment doit à la fois offrir de la visibilité sur la source ainsi que sur le binaire。Si elle ne peut peut pas voir le cere de la chaîne d ' approvisionment au niveau binaire et ririere une visibilité de l 'intérieur vers l 'extérieur, elle ne pourra pas se prévaloir de capacités de sécurité全球。

Avec l 'acquisition de Vdoo, JFrog a accéléré son positionnement dans le domaine de la sécurité Avec la conception de solutions spécifiquement conçues pour le DevOps。Les capacités d ' analyze binairede Vdoo， associées à la«源vérité»独特et centralisée proposée par la plateforme JFrog DevOps，渗透d 'activer une sécurité et un contrôle de bout-en-bout de la SCC tout en limited drastiquement les frais généraux pour les équipes impliquées: dev, ingénieurs DevOps et。

美食'année écoulée，知识optimiséJFrog x光et ses bases de données le transform en un producit de premier plan capable de couvrir à la fois le shift left via des cas d 'usage IDE et une puissante分析des binaires。Avec le lancement de JFrog高级安全，l 'offre de sécurité JFrog vient de franchir une nouvelle étape, se positionant comme une solution de sécurité holistique, conçue pour être intégrée dans le workflow DevOps。function ctionnant de concert avec JFrog Artifactory comme source unique de contrôle des binaires, JFrog高级安全，enrichit x射线de nouvelles fonctionnalités innovantes et répond aux menaces actuelles visant la chaîne d 'approvisionnement au travers d 'une seule et unique platforme。

Présentation de JFrog高级安全

JFrog高级安全浓缩x射线新命名fonctionnalitesCiblant les threats de la chaîne d ' approvnement。Pour proposer cette nouvelle couche de sécurité， nous avons en premier lieu, considérablement amélioré JFrog Xray Pour y incldes données propriétaires sur les CVE - vulnérabilités communes au sein de la communauté - et les packages malveillants issues des recherches de JFrog安全研究，ainsi que des instructions granulaires de remédiation et d 'atténuation ajoutées aux articles CVE dans la base de données。Des resources été consacrées à la fiabilisation Des données sur les CVE et les licence， à l 'amélioration de l évolutivité et à la latution de latence lors de la latence lors à jour Des données。Une politique de«淫秽opérationnel»a également été ajoutée pour décider du blocage des paquets en function du nombre de mainteneurers, la cadence de maintenance et plus encore。

L ' approach technology de JFrog x射线est basée sur L 'indexation précise des paquets de métadonnées。JFrog高级安全apporte une approche + poussée du scan binaire examant les données qui ne sont pas可通过les gestionaires de paquets, les SBOM ou les métadonnées courantes。Par conséquent, il offre aux企业une toute nouvelle compréhension de l ' état de sécurité des binaires analysés, en particulier des contenurs．Les扫描仪渗透d 'identifier Les problèmes de sécurité qui, dans la plupart des cas, passent sous Les radar de l 'analyse du code source。L 'utilisation d 'une analyse approfondie de cette envergure permettra, pour la première fois, uneCompréhension global des problèmes de sécurité de manière contextuelle，非seulement en identitles problèmes«角度morts»pour les autres solutions, mais aussi, en saisissant leur impact potentiel sur la production grâce à une vision plus large et intelligente du logiciel, par rapport à la seule analysis du code source。

Nouvelles fonctionnalités désormais disponibles dans JFrog高级安全

1. 分析CVE dan les conttuelle

回头路développeurs在法国外城附近的地方génèrent远道站résultats，去法国à远道站vulnérabilités lesquelles, en réalité， ne présentent aucun risque。Les résultats sont hiérarchisés de manière inefficace ou inappropriée en reason d 'un manque de compréhension conttuelle。Les méthodes traditionnelles de notation CVSS(通用漏洞评分系统)créent encore plus de complexités, car elles ne prennent pas en compte Les configurations spécifiques, Les mécanismes de sécurité et autres caractéristiques du logiciel analysé。

JFrog高级安全创新aujourd 'hui avec une fonctionnalité unique pour les conteneurs: l 'examen de l 'applicabilité des CVE identifiées, en analysant en profondeur le conteneur, son contenu ainsi que ses caractéristiques spécifiques。举例:l 'outil va vérifier si le code applle la function vulnérable dans le package, associé à la CVE spécifique。Il recherchera également des configurations et des caractéristiques de fichier supplémentaires pour inquer si les conditions préalables à l 'exploitation de la CVE sont回复。À l ' ère des nouvelles réglementations en matière de sécurité de la chaîne d ' approvisionnement, telles que HR 7900 exigeant aucune CVE ayant联合国影响sécurité du productOu des alternatives pour les atténuer，为了分析contextuelle越轨的联合国prérequis pour ne pas impacter le délai de livraison et保险商la sécurité du logiciel。L 'analyse contextuelle va également recommander des measures de remédiation concrètes, réalisables et rentables prenant en compte les caractéristiques et configurations spécifiques du conteneur。Pour la première fois, les développeurs ne seront pas invités à«tout réparer»，mais recevront des preuves et des priorités précises complétées par des instructions sur la façon de résoudre les problèmes avec un minimum d 'effort。L 'application de L 'analyse contextuelle à la fois sur le code source (via L 'IDE) et L 'analyse binaire via JFrog Advanced Security est L 'approche ultime qui conduira à un logiciel sécurisé - avec un minimum d 'efforts et des correctifs rétroactifs。Les binaires sont la clé de voûte du développement logiciel et une fonctionnalité clé de la plateforme青蛙。Leur analyze contextuelle est la solution la + avancée et rationalisée disponible sur le marché。

收集200张图片communautaires DockerHub / compute du top 10 des CVE pour les images collectées/扫描器contexttuels pour les CVE dans toutes les images/ taux de CVE不适用- 78%

根据环境分析，可能的条件75%的温度à技术人员sécurité根据scénarios标准

2. 秘密公开

Bien souvent, les clés et aures information d 'identification sont conservées dans des contenters et aures formes d ' artifacts。Ils peuvent apparaître计算公式和计算公式clés, parfois codés双aire(计算要求和计算方法inadéquate) et parfois dan des configurations et aures fichiers文本。JFrog先进的安全est能力de tracer tous les secrets但n ' import quel conteneur stocké丹斯JFrog Artifactory。contraition à d ' aures scanner qui génèrent de grandes quantités de faux positifs en raison d 'approches启发式错误，no moteurs recherchent 900+ types de clés spécifiques et d ' information d 'identification et sont donc très précis。Les résultats du scanner indiqueront non seulement où réside le secret, mais expliqueront également le problème - la façon don ' il est utilisé par exemplple et pas nécessairement ses caractéristiques spécifiques (tels que le chiffrement, l ' encoage等)。Comme les secrets ne résident pas souvent dans le code source, il devient essentiel de les rechercher sous formme binaire。En identiant ces secrets et En les corrigant conformément aux instructions du système, toute fuite accident entelle de tokens internnes, de clés ou de données d 'identification pourra ainsi être évitée ou tracée。

RÉcupÉration des token des products majeurs / modÈles gÉnÉrÉs pour chque product / modeles testes pour plus de 8百万d ' artifact oss / des milliers de tokens actifs trouvÉs et exposÉs

技术intégrée aux扫描仪JFrog高级安全

3. 利用非sécurisée des bibliothèques et des服务

L 'une des problématiques les plus courantes, traditionnellement ignorée par les solutions de sécurité applicatives du marché (et qui sont relation faciles à utiliser par les pirates)， concerne les problèmes liés à这样拉don ' t les paquets sont utilisés et pas seulement à的这个est utilisé (pratique courante des outils SCA)。Des moteurs de sécurité éprouvés vont analyser la configuration et le mode d 'utilisation Des bibliothèques OSS courantes (Django et Flask par example) et Des services (tels qu 'Apache et Nginx) et identifieront les abus ou les errors de configuration qui peuvent expose le product logiciel à une攻击。Les扫描仪prennent en compte un上下文de竞争者加大suggérant des étapes可开发倒管道加快速à la remédiation。

4. 基础设施即代码(IaC)

Si de + en + d ' organizations采纳l 'IaC, unrisque non négligeable坚持Si 'infrastructure est mal configurée la changant ainsi en maillon failed de la chaîne。代理conséquent，代理impératif保险公司更正sécurisé。Le scanner de sécurité IaC se concentrsur les fichiers de configuration Terraform stockés dans JFrog Artifactory pour détecter de manière précoce des errors de configuration cloud et d 'infrastructure potential exploitables。Afin de répondre à l 'approche d 'universalité de JFrog, d ' aures types d 'IaC seront bientôt ajoutés pour active ver une couverture complète。

Les nouvelles fonctionnalités de JFrog x射线包括:

• Données CVE améliorées et évaluation de la criticité:

Développez votre compréhension des CVE批评等générez des信息附加的sur les vulnérabilités pour permettre aux développeurs, aux DevOps et aux équipes sécurité de comprenre précisément les problèmes rencontrés dans les环境OSS et commerciaux。Le tout en disposant d ' un guide issu d ' une équipe de recherche dédiée à la sécurité mais aussi d ' analyses et d ' évaluations de criticité améliorées。

• Données de remédiation CVE optimisées:

Conduisez des stratégies de mitigation en vous basant sur des données de remédiation optimisées pour les CVE批评，qui vont permettre aux équipes de mieux comprenre comment atténuer intelligmentles vulnérabilités, souvent juste en modiant les configurations。Des指令方便à suivre， étape par étape。

• Détection de paquets malveillants:

Découvrez et éliminez les paquets indésirables, en utilant la base de données unique de JFrog, rich de milliers de paquets malveillants identifiés dans les référentiels communs par notre équipe de recherche ainsi que d ' information agrégées en continu provenant de sources mondiales。En savoir + sur la façon don ' t nous识别ces paquets de manière自动。

• 政治与风险的关系opérationnels:

为我们的风险提供便利problèmes维护花园的技术。

• Fonctionnalités pour les développeurs:

Intégrez direcement Docker Desktop, l 'analyse des vulnérabilités via CLI et un scanner Frogbot dans les IDE les plus populaires, afin d 'identifier les vulnérabilités lors des pull request dans les référentiels Git。

• Fonctionnalités de sécurité:

Facilitez la conformité avec des SBOM prêts à l 'emploi, don ' des fonctionnalités d 'exports standards et les nouveaux écrans UI de sécurité pour regrouper les problèmes dans tous les référentiels et assureainsi une couverture complète。

的简历

JFrog x射线et les nouvelles fonctionnalités deJFrog高级安全formentla première solution de sécurité centrée DevOps du marché，Conçue pour contrôler et protéger la chaîne d 'approvisionnement logicielle, du code aux conteururs en passant par la production。Une platform DevOps et de sécurité unifiée qui offre Une analyse avancée des binaires dans le workflow DevOps ainsi que la détection inégalée des vulnérabilités et des risques tout en favorant le décloisonnement des équipes - développeurs, DevOps et sécurité。

知识réduisons压力和工作安排équipes安全解决方案sécurité智慧和工作安排matière de sécurité。L ' élimination正确与正确之路à法兰西之路，时间与努力之路，accélérant进程之路développement。L 'intégration de L '分析的背景，分配的愿景整体的潜在威胁，巨大的威胁，sécurité持续的。Faites un essai pour évaluer tout le potentiel de JFrog高级安全。

你能告诉我JFrog高级保安公司吗?

Inscrivez-vous à notre webinaire interactif JFrog高级安全quii aura lieu le 2022年11月29日。Nous y parlerons des fonctionnalités de sécurité avancées，优势和功能de la nouvelle解决方案JFrog高级安全。Nous y ferons également une démo de la plateforme JFrog et présenterons ses fonctionnalités de sécurité éprouvées。