安全包
为什么需要jfrog安全包
如今的应用程序通常包含高达90%的开源软件(OSS)依赖项,使您的代码暴露于潜在的隐藏安全漏洞,甚至是昂贵而复杂的许可遵从性问题。这些问题对任何公司来说都不是理想的结果。
确保开源软件依赖项的许可合规性是法律团队和ceo们日益关注的问题。没有人希望成为失败的审计、昂贵的知识产权或许可证侵权案件的接收方。了解什么OSS正在被使用,由谁使用,以及在哪个版本和产品发布中使用是主要的关注点。
我们都痛苦地意识到安全漏洞的代价,你只需要回想一下很短的时间就可以了最近的Log4j漏洞事件或者太阳风公司的黑客入侵,或者再早一点,臭名昭著的艾奎法克斯黑客入侵,让他们损失了数十亿美元。不仅如此,还有不遵守软件许可的风险,这可能会使您陷入复杂而昂贵的知识产权之争。更不用说,您的软件可能会受到审计,而失败的审计可能会受到高额罚款,这取决于您所处的行业。
当你跨新用户、团队和站点推出JFrog平台时,用户访问和安全性也是DevOps团队关注的主要问题。使用Security Pack,您可以连接到您使用的其他身份管理工具,如Active Directory、Okta和其他工具,以自动管理用户的登录、注销和更改权限。
您还可以与Hashicorp Vault集成,以实现对签名密钥等内容的简单秘密管理,这些密钥可以存储在集中的保险库中,然后在需要时由平台访问,而无需上传它们。
“Xray让我们能够扫描所有不同的Docker层,并找出实际上包含在这里的二进制文件;这样我们就有了一个适当的流程,我们可以真正地通知团队,帮助他们了解您的构建包中存在漏洞。”- - - - - -Brad Becktell,开发运维工程师,Kroger
安全包中包含了什么
使用安全包,您可以获得增强的安全性和合规性功能,以及增强的平台安全功能:
■领先的漏洞情报-来自VulnDB漏洞数据库
■自动许可遵从性-具有细粒度的可配置策略
■增强的CVE数据-逐步补救更准确和详细的漏洞数据
■上下文分析- cve以减少误报并优先考虑补救措施
■工业标准SBOM -能够输出CycloneDX和SPDX报告
平台安全特性:
■跨域身份管理系统(SCIM) 2.0
■Hashicorp保险库集成
■支持AWS私有链路的私有端点
领先的漏洞情报
安全包包括一个高级漏洞数据库,其中包括领先的漏洞情报数据库VulnDB(由基于风险的安全提供)。每次发现新的漏洞时,都会对高级数据库进行精心维护和更新。VulnDB源自于一个专有的搜索引擎,并由其世界知名的研究团队对数千个公开的漏洞进行了彻底的分析。
它不仅为您撒下了更大的网,还使您比NVD更快地意识到任何新的漏洞。这对于保持代码整洁、不受任何漏洞或许可问题的影响至关重要。
■通过最及时、最全面的漏洞情报(包括VulnDB)获得信心
■市场上最全面的情报,有超过247,000个漏洞,涵盖27,000个供应商的产品,包括CVE/NVD中没有发现的漏洞hth华体会最新官方网站
■扩展漏洞元数据,每个漏洞都包含扩展的分类系统和CVSS指标,为补救和优先级提供评级
自动许可遵循
Security Pack提供定义和自动化许可遵循策略的能力,以识别不符合组织法律指导方针的组件的使用情况。可以根据许可证类型的上下文和组件的使用位置设置不同的缓解行为。
一旦检测到许可证违规,您可以通过几种不同的方式通知用户,包括:发送电子邮件、Slack消息、创建Jira票据或通过Webhooks的任何其他系统。除了创建违规和通知,系统还允许您设置强制操作,包括阻止二进制文件的下载,构建失败和阻止发布包的分发。使用安全包保护您的生产软件发布,它是DevSecOps世界中最大的安全和合规盟友。
增强的cve数据
JFrogs安全研究团队花费数小时分析和调查更关键的cve,并创建额外的漏洞洞察和缓解数据,使开发人员、DevOps和安全团队能够更多地了解漏洞,如何缓解漏洞,并提供易于遵循的逐步补救指导。
语境分析
上下文分析智能地扫描二进制文件,将二进制文件的上下文考虑在内。这远远超出了对CVE列表的依赖项进行简单的匹配,而是执行一个整体分析,在包含CVE的上下文中检查二进制文件的环境,以确定CVE是否适用于它。这消除了令人讨厌的假阳性,并帮助团队将注意力集中在真正重要的漏洞上。
行业标准
美国网络安全行政命令的引言规定,软件应用程序需要经过审查,软件供应商需要提供构成应用程序的所有开源软件组件的列表。这个动作预示着需要能够为您的应用程序创建一个软件材料清单或SBOM。JFrog平台不仅具有创建详细SBOM所需的所有软件组件元数据,还支持以行业标准格式(CycloneDX和SPDX)导出它们。
跨域身份管理系统(scim) 2.0
SCIM减轻了以安全和合规的方式手动管理用户的访问权限和权限的痛苦和困难,这些用户正在加入、更改角色、团队或离开。它支持管理每个用户被允许做什么。如果此过程的任何部分是手动的,则可能意味着人为错误,从而导致安全性、合规性或操作问题。为了解决这种情况,我们有一种自动的方法,可以在用户发生任何变化或用户角色发生变化时更新平台,使用您可能已经在使用的用户管理工具,如Active Directory、Okta或其他支持SCIM 2.0的身份管理工具。
JFrog提供了一组apl,使您能够将您的用户管理工具与我们的平台连接起来,从而在用户更改时自动更新,例如用户离开、回来或需要将他们与新角色关联。当用户需要修改时,平台会自动更新。它支持用户级和组级角色以及它们之间的关联方式。
Hashicorp保险库集成
与JFrog平台部署建立一个外部Hashicorp Vault集成。Vault是一个管理秘密(如签名密钥)的工具。秘密被集中保存在保险库中,不需要上传到平台。平台知道如何关联或从金库中获取相关的钥匙或秘密。它支持多种签名密钥类型,如用于签名包或发布包的GPG、RSA或可信密钥。
AWS PRIVATELINK
利用AWS PrivateLink保护您的网络流量。轻松建立安全的网络连接,从您自己的AWS虚拟私有云(VPC)到AWS上的JFrog云(SaaS)实例,无需通过公共互联网发送流量。设置私有端点的能力允许在vpc、AWS服务和本地网络之间实现私有连接。这使得跨不同帐户和vpc连接服务变得容易,从而简化了您的架构。请参阅这个简单的6步过程来开始使用PrivateLink端点。
