【中文翻译
太阳风(SolarWinds)【中文译文500年フォーチュンや米国の大規模な連邦政府機関に影響を与え,ソフトウェア開発におけるセキュリティがDevOpsコミュニティとJFrogにとって重要な問題となっていることに注目が集まっています。根本的にはCI / CDパイプラインを介してリリースされたコードが安全でない場合,他のすべてのDevOpsの利点は無駄になります。
? ? ?
太阳之风(SolarWinds):猎户座的平台のソフトウェア構築プロセスにマルウェアが仕込まれたと啊哈啊哈啊哈。数ヶ月前から製品のアップデートに脆弱性が含まれており,ハッカーがバックドアを使用して顧客の猎户座サーバーを危険に晒すように作られていました。
18000年約社の顧客が脆弱性を含むアップデートを受け取り,【中文译文> > > > > > > > >你知道吗汪汪,汪汪,汪汪(国土安全部)、火眼(FireEye)、火眼(FireEye)、火眼(FireEye)、火眼(FireEye)、火眼(FireEye)、火眼(FireEye独自のセキュリティツールをハッカーが盗み出した後,今月最初に攻撃を検知哎,哎,哎。
★★★★★★★★
アーキテクチャレビュー,静的・動的コード解析,オープンソース解析を含む安全な開発ライフサイクルを利用してすべての製品を構築しているSolarWindsは既に以下の英文翻译> > > >
- ビルド環境へのアクセス権の更なる制限
- ★★★★★★★★★
- ビルド環境のアーキテクチャ,アクセス権を持つ特権ユーザと非特権ユーザとそれを取り巻くネットワークの見直し
Githubftp功能★★★★★★★★★★★★★★★報告しており,これがハッカーのシステム侵害の手段になったのではないかという刘志强。
推出一个全面的、整体的DevSecOps策略是必须的,特别是随着开源软件的指数级增长,我们知道开源软件经常包含漏洞和其他安全错误。点击推特i / i / i / i / i / i
【翻译> > > > > >你怎么能这么说呢を提供することから,ハッカーの間でますます人気★★★★★★★ソフトウェア・プロバイダとその顧客間の信頼関係を悪用してサイバー犯罪者は安全だと思われているコードをハッキングします。ハッカーのマルウェアは正規のソフトウェアに隠れて,知らず知らずのうちに正式な方法で何千人もの顧客に配布されます。
JFrog(青蛙
JFrog(青蛙)DevSecOps。設計から製造までエンドツーエンドでセキュリティをSDLCに組み込まなければならないというのが当社の信念です。
そうすることでセキュリティのギャップ(脆弱性,マルウェア,設定ミス,ポリシー違反など)を早期に発見し,悪用される前にすぐに修正することができます。
これはアプリケーション・セキュリティ,インフラストラクチャ・セキュリティ,データ・セキュリティおよび包括的な役割ベースのアクセス・コントロール(RBAC)を含む,全体的で多次元的なアプローチを必要とする複雑な内容です。
……JFrog平台。
JFrog x光
JFrog x射线継続的なセキュリティとユニバーサルなアーティファクト分析。コンテナとソフトウェア・アーティファクトのマルチレイヤー分析を行う,このソフトウェア構成分析ソリューションは脆弱性とライセンス・コンプライアンスの問題を検出することで適切な対応を迅速に行うことができます。
JFrog x光片,JFrog人工制品,されており,最適化されたスキャン,統一された操作でお客様のアーティファクトのセキュリティとコンプライアンスの問題に対する統一ビューを提供します。。セキュリティとライセンスのコンプライアンスをアーティファクト管理システムに完全にインテグレーションされなければなりません。そうであれば脆弱性が検出された場合,それがどのようにしてそこに存在し,またそれが他にどのような影響を与えているのかを知ることができます。
さらに,Artifactoryは粒度の細かいRBAC機能を提供しているため,アーティファクトへのアクセスを制限し,読み書きや読み取り専用のパーミッションなど,どのようなアクセスを許可する等を設定することができます。さらに,Artifactoryの豊富なメタデータはアーティファクトの完全なトレーサビリティを提供します。このようにして侵害に即座に対応し、安全なコンポーネントを使った新しいビルドを数日ではなく数時間で生成することができます。
JFrog x光の再帰的スキャンはコンポーネントのすべての基礎となるレイヤーと依存関係を可視化し,完全な影響分析を提供するため,どのアーティファクトに安全でないコンポーネントが含まれているかを検出することができます。また,これをすべて継続的かつDevOpsのスピードで実行するため,サイクルの最後にセキュリティチェックのボトルネックを作らず(这是一个很好的例子)(中文:)(中文:)(中文:)
これをすべて手動で行う場合,相互運用性の低いポイントツールでは動作が遅くなり,セキュリティの問題を正確にピンポイントで指摘することができなくなり,違反のリスクが高まります。
JFrog管道
我不知道…ci / cd。これらのツールはそれぞれが独自のパスワードやトークンを持つ他の多くのサービスに接続しなければならず,サイバー犯罪者からそれらのデータを保護しなければなりません。
JFrog管道。管道はそのインテグレーション機能を通じて,中央の秘密管理をJFrogプラットフォームのきめ細かなアクセス権限と組み合わせています。すぐに利用可能なインテグレーション機能にはGitHub, Bitbucket都,码头工人,Kubernetes,松弛のほかにAWS, GCP, Azureなどのパブリッククラウド・プラットフォームが含まれています。
管道インテグレーションを使用した場合は安全なリソースを共有し,その利用を許可する秘密を保護することができます。JFrog平台の統一された権限モデルを使用し、必要な人にはアクセスを許可し、それ以外の人にはアクセスをブロックすることができます。これによって、CI/CDツールから不注意に公開されたり、盗用されたりすることから秘密を保護するプロセスがすべて自動化し、インテグレーションされます。
ベストプラクティス
特にオープンソース・ソフトウェアの急激な成長に伴い,脆弱性やその他のセキュリティ上の欠陥が含まれていることが多いことが分かっているため,包括的で網羅的なDevSecOps戦略を展開することは必須です。このホワイトペーパーで説明したように,これらの推奨事項はDevSecOpsを開始したり,チューニングしたりするためのベースラインを提供します:
- DevSecOps和SDLC
- 開発と運用チームにセキュリティの知識とオーナーシップを浸透させる
- セキュリティとコンプライアンスのベストプラクティスを活用して継続的な改善を行う
- セキュリティとガバナンスを自動化できる統合されたDevSecOpsツールのスイートを使用する
- ツールスイートに汎用的なソフトウェア構成分析ソリューションが含まれていることを確実にする
- 最も包括的でタイムリーな脆弱性インテリジェンス・データベースの活用する
x光片VulnDB脆弱性データベースを提供している基于风险的安全社の脆弱性インテリジェンス担当副社長の布莱恩·马丁氏が以下のヒントを共有して頂きました:
- 信頼できるベンダーからソフトウェアの更新を受ける企業のために:あらゆるソースからのコードを受け入れる際には精査を行い,セキュリティに重点を置いた適切なポリシーを持つ。2 .。そうすれば資格情報が悪用されて新しいコードがプロジェクトに混入された場合,そのコードをチェックする責任は2番目の人が負うことになります。
- DevOpsチームはパイプラインが侵害されたり,ハッカーによってコードが改ざんされたりすることを防ぐために,ソフトウェアの使用に使用されているサードパーティのコードを定期的に確認する必要があります:DevOpsチームはソフトウェアで使用されているサードパーティのコードを定期的にレビューする必要があります。????(1)、(1)、(1)、(1)、(1)、(1)、(2)、(3)。
無償のJFrog云アカウントにサインアップし,x光の再帰的スキャンとインパクト分析機能がDevOpsパイプライン全体のセキュリティとコンプライアンスをどのように向上させるかを直接体験してください。
