使用JFrog DevOps平台加速您的软件材料清单之旅
世界经济论坛将网络安全威胁列为全球最大风险,因为基础设施攻击、欺诈和数字安全损害了公众对数字系统的信任,并增加了利益相关者的成本。
由于98%的组织依赖于开源软件,客户要求软件物料清单(SBOM)提高透明度,并对其系统进行风险审计。美国和欧盟的政府实体要求这些披露,今天,82%的组织正在生产中使用soms或计划在未来6到24个月内使用soms。虽然soms是必要的基础,但要确保您的软件供应链(SSC)具有速度和灵活性,还需要其他关键元素。
为了准备好迎接未来,软件生产者必须生成全面的,机读soms作为SSC自动化的一部分。具有丰富元数据的中央工件管理,以及深度扫描传递依赖项在第三方组件中,为所有业务部门的整个SDLC实现风险管理。
今天的挑战:在每一次有证据的交付中建立信任
到处自动化SBOM生产
跟踪每个管道中所有组件的来源需要在单个系统下集中管理软件工件,该系统可以捕获广泛而详细的元数据。只有当每个资产都通过单个系统进行管理时,组织才能识别第三方组件中的所有可传递依赖项,并自动或按需导出合规SBOM中所需的数据。
利用数据降低风险
只有通过深入的、可操作的软件数据,才能在DevOps自动化中构建安全性和合规性强制。需要正确的系统来捕获、摄取、增加和处理SBOM数据,以强制执行组织的开源安全和许可策略,并在整个SSC中快速补救零日问题。
满足今天和明天的要求
soms必须在一组普遍接受的标准中生成。今天,SPDX和OWASP的CycloneDX是两种最常用和首选的机器可读SBOM格式。然而,不断变化的法规和不断变化的安全环境可能很快就需要围绕工作流、审批和开发人员信息的额外丰富的上下文元数据增强标准soms.
jfrog如何提供帮助:全面洞察软件组件
为每个构建带来可见性和控制
通过JFrog Artifactory存储库管理所有软件组件工件,创建操作一致性。JFrog Artifactory存储库是行业标准的二进制管理解决方案,支持30多种包和工件类型。丰富的Artifactory元数据跟踪每个软件组件的来源、沿系和使用,为每个SSC管道中的SBOM报告创建基础。
使用交钥匙soms显示第三方组件中的依赖关系
通过深度二进制扫描来穿透第三方组件的不透明性,以揭示所有可传递依赖项及其已知漏洞,以完成SBOM报告。自动生成SPDX和/或CycloneDX SBOM报告,并将法规和客户遵从性构建到软件发布的每个步骤中。
全球防范安全和责任风险
将SBOM元数据用于自动识别所有易受攻击的组件,执行组织范围的许可证和漏洞策略。快速跟踪SSC中零日问题的爆发半径,以便进行积极补救。通过JFrog的混合和多云功能,全球团队可以使用相同的工件和SBOM元数据进行无缝协作,以实现一致的安全态势。
