放大SDLC更改事件和x射线安全漏洞
警惕x射线安全漏洞
作为DevOps的关键任务工具,在Artifactory、Xray、Pipelines和Distribution中发生的关键事件揭示了您的软件管道是否在交付产品质量版本的轨道上。
JFrog的集成PagerDuty事件响应平台通过领先的运营管理工具之一,为您的整个团队带来实时可见性和对jfrog支持的软件管道中正在发生的事情的意识。PagerDuty事件管理系统提供可靠的通知、自动升级、随叫随到的调度和其他功能,以帮助团队快速检测和修复基础设施问题。
JFrog Artifactory是通用的工件存储库管理器,是JFrog平台二进制驱动的DevOps成功公式的核心。JFrog x射线是通用的软件组合分析(SCA)工具,使DevSecOps团队主动识别开源漏洞和许可证遵从性在生产中出现之前的违规。JFrog管线为平台提供可跟踪的CI/CD自动化。
通过对PagerDuty的JFrog集成,事件团队可以指导正确的人员进行早期响应,以解决DevOps、安全性问题,并在事件发生时进行更改。
整合的好处
- 主动管理安全性和遵从性贯穿软件开发和发布生命周期。
- 减少平均解析时间(MTTR)通过早期PagerDuty通知安全漏洞以及违反法规的行为。
- 自定义通知和策略根据违规的类型和严重程度。
- 细粒度的可见性关于受影响的工件、组件和依赖项。
- 监控你的软件分发实时管道.
集成特性
在JFrog平台中,DevOps管理员可以配置Artifactory事件和细粒度的x射线监视策略来触发出站事件webhook,并将每个事件与PagerDuty服务关联起来。一旦收到,PagerDuty可以将每个事件报告直接发送给个人或组,以提醒他们Artifactory中的事件,以及Xray检测到的安全或许可证违规行为。
 |
 |
 |
| Artifactory可以在PagerDuty服务上触发事件,以报告工件、构建和发布包的更改事件。 例如:上传一个工件,推送一个Docker标签,或者分发一个发布包。 |
Xray可以触发PagerDuty将事件报告直接发送给个人或组,提醒他们在扫描的存储库、构建和发布包中检测到违反安全或许可策略的情况。 | 管道可以向PagerDuty服务交付实时CI/CD事件信息。 快速响应构建失败,并接收关于特定管道步骤的可操作的细粒度信息。 |
用例
- SRE/IT管理监督—配置x射线策略设置可以确保对所有生产版本进行稳健、连续的扫描。通过PagerDuty发送的事件报告能够快速响应所发现的所有相关安全漏洞。
- 质量保证QA团队可以配置x射线策略和手表,以监视用于测试和staging环境的目标工件存储库,并通过PagerDuty事件服务报告安全违规,以便及时解决。
- 左移安全-开发人员和开发经理配置x射线策略和手表,以持续扫描用于里程碑开发构建的目标工件存储库。通过PagerDuty发送的事件报告向开发团队发出任何安全漏洞的警告,并在开发生命周期的最早阶段进行解决。
