如何花更少的时间修复cve

比尔曼宁:
只要你准备好了。

发言人2:
好吧。嗨。谢谢你参加我们的节目。我们会给一些人一两分钟的时间来继续，但是我们今天的网络研讨会是如何花更少的时间来修复cve。首先，我想介绍我们的高级解决方案工程师Bill Manning，他将帮助我们运行这个网络研讨会，并教你如何花更少的时间。比尔，你想接手吗?

比尔曼宁:
嘿，伙计们，你们好吗?所以，今天我们将讨论所有你可以做的各种事情来更快地修复。我们听到的主要驱动力之一，我们在这里基本上是你如何做事情使其更有效率?我的意思是，这就是我们作为一个平台所做的。我们是软件供应链平台。所以今天我们要谈谈如何花更少的时间来修复cve。如前所述，我是比尔·曼宁，这里写的是威廉。是啊，因为我两个都用。我不知道，你知道，不管怎样，它是有效的，但我是美洲的解决方案工程经理之一。问题是，当我们开始谈论cve时，我们需要有一些背后的背景。 We all kind of know what it means. But the big thing is we see headlines all the time.

我们被这些标题淹没了。当我们说软件供应链时，我们指的是那些第三方可传递的依赖关系。现在的问题是，这不仅仅是直接依赖关系。我们都知道含蓄的，直接的，我们所要求的作为我们行为的一部分。我们在做MPM，我们在做Python。如果你不熟悉J Frog，我的意思是我们所做的，肯定还有其他的东西。我想你应该知道我们是谁的背景吧。但问题是我们一直都能看到软件供应链是当今美国大多数公司面临的最大威胁之一。问题是，原因是，大多数时候人们甚至没有意识到这一点，但40%的零日，想想这个。如果你也不熟悉零日，零日的概念是当任何时候有一个CVE，就会产生，对吧?

它们不是被扔出去的。其中有一段时间涉及到问题的发现，测试，过度测试，然后进行同行评审，达成一致，然后创建CVE。在2021年，有史以来40%的零日漏洞增加了。而且还在不断增加。威胁是真实存在的。当我们讨论这个问题时，你就会明白公司花了很多钱来补救这个问题。而补救之所以需要时间是因为时间。你花在发现CVE上的时间越多，或者如果你发现了CVE，并发现它影响了哪里，影响了多少项目，花费的时间就越长。你知道，必须通过。这需要很多努力，需要很多发现，你必须深入挖掘，阅读CVE，理解CVE。

但问题是，其中很多需要越来越长的时间来识别，这意味着您更容易受到这些库可能造成的任何邪恶或恶意原因的影响。我的意思是，开发者是艺术家。我一直都这么说。问题是，他们使用的媒介是他们选择的编码语言和他们用来更有效地完成工作的库。现在，与此同时，你希望你的开发者能够向前发展，创新并创造kpi，更快的发行能够让你为你的客户提供修复，更多的功能和诱惑。但问题是，这些攻击，如果继续下去，会损害你的公司，不仅是经济上的，还有你的声誉，从而反过来会影响你的公司经济上的等等。

问题是，漏洞利用的实际时间从42天减少到12天。想想看。仔细想想，这有点疯狂。问题是，随着时间的推移，它变得越来越快，我们似乎总是被淹没。这就是为什么我一开始选择了莫里斯，他努力工作时的火焰。这就是我们正在做的，因为问题是，所有这些威胁都是真实存在的而且大多数时候，大多数公司都需要。因此，与此同时，补救措施是行业中用于确定是否发现安全问题的统计数据之一。等到时机成熟的时候，58天就可以修复了。那是永恒。想想这个。 You’re always constantly working on busy cycles. You suddenly get a notification from your security team and that takes time and the older processes of like, “Oh, we’re an air gap environment because we don’t want to let this in.”

这同时也有点过时了，对吧?你实际上阻碍了组织发展的速度。问题是，这些更大的威胁每时每刻都在发生，对大多数组织来说都是无法克服的。真的可以。它可能是完全无法克服的。我们是否让我们的开发人员去处理安全问题，但同时我们也在削弱我们的能力，我们的kpi将会减少，发布将会延迟，诸如此类的事情。但如果你能以这样一种方式来做，你突然有了可用的工具集来帮助你。不仅能立即告诉你你正在做的事情有一个CVE，还能告诉你它在哪里，它是如何影响你的，或者更好的是，如果你有所有这些CVE，你真的受到了影响吗?

听着，2022年有21000名cve注册。想想看。我是说真的。让你们知道，在J frog我们是CNA，我们是CVE编号权威。我们有一个庞大的研究团队。顺便说一下，我想和你们分享的一件事是，如果你们想的话，我们确实有一个研究页面，上面有关于如何保护自己的所有信息，我们在做什么，我们发现了什么，还有很多关于如何保护自己的很棒的博客文章。但问题是，我们有这么多简历是因为你开发的软件有85%到90%是别人的，对吧?你的代码只占15%到10%到15%。剩下的就是你在这个世界上拥有的所有东西。

问题是，你仍然希望能够为开发者提供开发能力，但不压制他们的创新能力，同时在其中增加一层保护。从左到右，我们将讨论，在开发人员级别，任何安全工具的投资回报率都是最高的。听着，如果你的安全团队在生产层面发现了cve，那么你的公司修复它的成本要高出一百倍。所以给你所有合适的工具集，更快修复的能力，背后的自动化，这些都是我们要讨论的东西，因为想想看，每次你做一个PIP安装，一个GoGet Maven获取或类似的事情，相当于插入你的拇指驱动器。您在街上找到了它，并将其插入您的生产服务器。

说真的，你不知道这是怎么发生的。记住，大多数CVE攻击都不是发生在隐式层面，就像你现在做的那样，对吧?这些都发生在后台，通常是在依赖关系级别的第三或第四个传输阶段。我的意思是，看看像太阳风这样的东西，对吧?完美的例子。这是第四级依赖转移攻击。我们会讲到原因。问题是，当你进入典型的发展时，你们都知道这一点，对吧?你是一名开发人员，有人给你一个KPI，让你去构建一个产品或其他东西的一部分，然后你说，“好吧，评估一下。什么技术效果最好?” Maybe MPM is the language that you’ve chosen to build this. Maybe it’s a web facing example. And here’s giving a quick scary thought here is, is that you go through and you design this and you put your package at JSON together where your dependency is.

我找到了一个库来解析一个字符串，它可以提取我需要执行的哈希值。你所做的所有事情，你选择那些最适用于解决你试图在产品中构建的问题的库，你把它像JSON一样放入你的包中，我总是开玩笑地称MPM为家庭聚会。

你在包里放了三个东西，比如JSON，然后500意外出现了?这正是我们想要确定的。那500多件意想不到的事情，你怎么知道?你的保安是怎么发泄的?你如何确保你没有引入什么东西，它会打开你的防火墙或泄露你的客户数据或所有这些类型的组件?因为当你这样做的时候，你知道，你做一个MPM安装，它去获取你的第三方传递依赖，它把它们带来，你都很高兴。今天我将向你们展示如何做一些事情，比如，首先，你应该知道，你可以在进入开发人员手中之前，预先审查任何将要出现的库。这基本上是你在它开始之前先发制人的停止。但是正在进行的事情呢?

零日呢?我们也会谈到一个事实，一个关键因素要记住如果你是一个J青蛙的人工制品有x射线类型的客户，事情是，我们的关键区别于市场上任何其他产品是我们是连续的。我们把二进制存储为校验和，对吧?是Shaw 2556。它背后有上下文，说明实际软件包的含义。另一方面，我们有大量的CVE数据储存库，这是我们的安全团队，我们与基于风险的安全合作伙伴，漏洞数据的最大所有者之间积累的。NIS源，MVD源。这两个东西都有。二进制文件的元数据列表和潜在cve的元数据列表，因此我们的x射线产品之所以超级高效，是因为它只是共享元数据到元数据的比较。hth华体会最新官方网站

那么你应该怎么处理供应链和税单呢?首先，你要明白这事的严重性，对吧?这个想法很简单。99%的山羊速度不仅被我们，还被其他组织，分析师等人扫描过，其中75%至少有一个漏洞。这实际上有点低，因为实际上我们在这里看到了更大的数字因为问题是，这个的绝对数量增加了。这些潜在的威胁和攻击有所增加。49%的代码库至少有一个高风险漏洞，这意味着高或严重。当我们进入这些可能是重大灾难性事件的范畴时。另一方面，这是人们大多数时候都没有想到的，但是大多数你正在使用的库，那些第三方的传输依赖，无论是隐式的，直接的还是间接的传输依赖都是旧的，过时的，它们已经被抛弃了。

在J Frog，我们甚至有一个概念叫做操作风险。所以我们甚至可以为你的公司辩护，通过观察购买，你使用的第三方运输，并说，“这是生命终结吗?你用的是什么版本?有新版本吗?”还有，开源项目的健康状况如何?这仍然是一个可行的实体吗?这是一个真正可信的威胁，因为如果出现了一个永远无法解决的问题，你应该知道。

让我们回过头来，当我们讨论这个问题的时候，问题是，为什么会发生袭击?你为什么要知道这些?首先，这很省力。这并不需要太多的技巧和策略。它真的没有。说实话吧。另一件事是，它的传播速度也非常快。

当我说它传播得非常快的时候，想想这个。开源社区非常…我说的开源是指自由/开源软件，对吧?免费和开源软件。您所依赖的第三方传输依赖项。Newgate软件包，Python, MPM，基于docker的关卡图像，Terraform模板。你说吧。这些都是事情，但事情是他们接受的，当他们做加法的时候，如果你真的是一个黑客，我说的黑客在这种情况下是宽松的。我对所有这些都有自己的看法，但我们的想法是，引入一个可能对供应构成潜在威胁的小库，建立第三方间接运输依赖的实际供应链，非常快，非常简单。如果你把它和他们联系在一起，一个使用率更高的库，不需要花很多时间，就会有人进来问，“下载最多的库是什么?”

对吧?因为记住，它是依赖关系，有依赖关系，有依赖关系，有依赖关系。问题是，一旦它进入河流，它就会被冲走。你做了一个MPM安装程序或PIP安装程序，在NEWGEN或类似的东西，你突然把它带入你的组织。就像不受欢迎的客人。你要把他们带进来。问题是，这可能会滥用信任关系，不仅是在发现漏洞并利用漏洞的情况下与客户之间的信任关系，而且还会滥用公司内部的信任关系。我们看到很多公司，当我们和他们交谈时，在他们看到我们作为一个平台可以做什么之前，他们会下意识地说，“你知道吗?我们控制不了。这是无法控制的。 We’re just going to lock out the outside world and we’re going to go air gap.” And in my opinion, all you’re doing is slowing down your development and those processes and your competitors are going to take advantage of this.

问题是，当他们这样做的时候，很多时候会有…不要误会我，我甚至没有进入关于付费漏洞的哲学辩论，或者只是想把荣誉留给那些匿名的漏洞，但它们通常只是某种恶意代码或某种后门。
我的意思是，看看它，然后它真的取决于它是如何被利用的。话虽如此，但请记住，2021年，税收供应链增加了650%。就像我说的，洪水正在发生。这种情况一直在发生，而且在2022年有所增加。它一直在上升。你好像总是要担心这个。现在这是对软件行业的一个可信威胁，我们会帮助你。这个平台，我们现在称自己为软件供应链平台，我想说，实际上我们是一个安全的软件供应链平台，因为我们不仅让你能够在二进制文件到手之前对它们进行预审查，我们还有像ID插件这样的工具，我们有CLI工具，我们的x射线内部。

有一些方法可以更快地做到这一点。现在我们有了先进的安全功能，比如缩小范围。你受到影响了吗?我们会讲到的。所以当我们着眼于我们作为一个平台所提供的内容时，这是非常直接的。你有藏物，对吧?这就是你的开发者所致力于的第三方传输依赖，无论是直接的还是间接的，都在兑现的地方。所以，如果你有1000个开发者，而第一个开发者关闭了一个库和它所有的中转好友，那么999个其他开发者也会使用它。你知道，你也可以做两个全球站点，并且能够在它们之间进行复制。因此，您提供了一致性，而不依赖于开发人员所在的位置，但它也是存储构建的地方。 If you’re not storing the build data in artifacty, you should really take a look at some of our talks on bills.

它适用于问责制，因为事情是，不要误解我的意思，有些产品可以很好地找到cve，但有多少产品会告诉你你是如何受到影响的，你在哪里受到影响，是否有其他项目受到影响?hth华体会最新官方网站事情是这样发生的，当你发布一个构建时通过我们的构建信息，因为它允许我们创建依赖关系图，显示事物对其他事物的依赖关系不仅仅是你正在使用的项目，还有其他可能使用相同库的项目。所以如果你被某种严重的CVE击中，你可以得到一个爆炸半径。x射线，就像我说的，它是连续的，你可以在任何一点对它积分。如果你看这里，如果我们从左到右，左边是向左平移，就像我说的，我们有ID插件。

我将向您展示CLI工具。我甚至将向您展示如何在这些二进制文件到达开发人员手中之前对它们进行预估。如果你能在门口突然说，“嘿，顺便说一下，你知道，如果你把这个带进来，你是一个潜在的关键问题，可能会伤害我们。”顺便说一下，我们扩展了我们的安全产品，我们今天不打算详细介绍，但如果你感兴趣，我们有很多关于消费方面的讨论。我们的发布端，我们有能力扫描这些东西，叫做发布包，它允许你发布像舵图和码头图像这样的东西，作为一个不可变的发布，叫做发布包。为了安全起见，它经过了数字签名，您可以在它进入生产之前最后一次扫描它。我们有Jfr Connect，这是我们的物联网平台，允许您进行设备管理，诊断。

我们甚至有安全措施，比如警报的防火墙，还有自动回滚和部署的能力。有很多很酷的东西。当然还有管道产品。现在我们的管道产品也是一样，这里的一个伟大的特性是，它可以是你的持续集成，你可以把它当作一个直接的持续集成，你可以把它当作一个CD来分发你的软件到需要的地方。或者，如果您使用多个CI环境，您可以使用它作为编排它们的一种方式。但归根结底，你在这里看到的是一个平台工程游戏。实际上，作为一个开发组织，我们拥有所有需要的东西。我的意思是，有7000多名客户信任我们的产品是有原因的。

当我们谈到自动化安全以及我们今天要讲的内容时，你们要记住它必须能够扫描软件。让我们面对现实吧。从第三方依赖趋势的包类型到基础级的docker镜像和容器，能够支持其中的大部分内容，以确保占软件85%到90%的组件是安全可靠的。完全可见。所以我们提供软件材料清单之类的东西。每个人都听说过这个。我有一个完整的演讲基本上是关于揭开什么是软件材料清单的神秘面纱。基本上，它只是一个组成软件的成分列表。

我们的安全团队有惊人的漏洞数据。你可以做恶意包检测，你将能够…我们有零日。因为我们是持续安全的，所以如果有新的简历出来，我们会立即通知你，这样你就可以处理好它。问题是，我今天要给你们展示的是快速解决问题。所以我们有一种叫做情境分析的东西我们也可以做情境优先排序。我将向你们展示如何使用这些信息来快速地解决问题，对吧?另一方面，我们也能够将所有这些信息部署到你的整个组织中，从你的开发人员到你的CI再到CD，在未来，我们会在Kubernetes的运行时中发布一个公告。

它可以在任何地方积分。因此，您可以使用我们的jfrog CLI或API。我们有各种CICD工具(IGEs)的插件。就像我说的，我们会讨论这些。最后，您可以在我们的平台上使用我教你的这些东西，无论您是使用我们的托管解决方案，也就是我们的SaaS，我想我喜欢说它是托管的，因为它远不止于此，因为您可以选择自己的云提供商、自己的区域等等。它可以在您自己的数据中心中，也可以是跨不同云提供商的组合。我们不在乎。无论你如何使用我们，我们都能带来同样水平的卓越。我们今天要讲的一些东西是我们的高级功能，我们去年年底刚刚介绍过，就像如果你在使用Terraform，基础设施就是代码分析。

所以能够进入并确定你是否真的锁定了所有的东西当你在做的时候，用Terraform说些什么。秘密的检测。哦，我的天哪，你不会相信在docker镜像中，我扫描了多少docker镜像并找到了私有API密钥。我发现了很多秘密信息。顺便说一下，它通常不太显眼。大多数情况下，它实际上显示在根历史记录中。想想看。有人忘记删除凭证了。他们把它移到了其他地方。他们只是没有清除他们的历史。 Miller’s code detection. We’re actually going to go through and I’m going to show you some actual ways that we detect that.

我们还可以告诉您，您是否有任何服务或应用程序暴露在docker映像中?完美的例子,你知道有一个服务在后台启动,这是寻找一些远程连接你下载一些基础镜像网络和现在你突然有…我有一个我下载,我开始,我做了一个快速搜索,这是一个流行的下载,我在位置上放一个嗅探器,我开始码头工人形象,尽快开始我们发现有一个服务在后台运行。

当我去监控那个服务时，它实际上是在向外部某处发送请求。当我把它发送到外部时，请求回来了。上面写着，“嘿，谢谢你的联系。把你的日志文件给我。”想想看。你正在部署一个服务，突然你有一个容器启动，它在某处响起，抓取所有日志文件和所有数据，并将它们部署到其他地方。这很可怕，对吧?你无法控制这一点。我们可以帮你找到。既然这是一个网络研讨会，基本上是讨论如何，我只是想提供一个背景，现在让我们继续看看。 So let’s start off with the preventative portion first. So the first thing you want to do as an organization, always make sure that when you’re designing your repositories and you look at any repositories specifically, not only your local where you store your bills, I’m also making the assumption that you have some experience using us already, right?

这并不新鲜，但是我们的第三方传输依赖是通过远程存储库代理的。当你这样做的时候，它可以是你正在构建的任何类型的存储库。当你进去的时候，如果你想让我们的x射线产品确保你所做的事情是安全可靠的，总是去底部，说启用索引和x射线。一旦你做到了这一点，这就需要这些第三方运输依赖现金的冥想表示，并使其可用于我们的x射线产品。在x光中，你也可以确保你确实有你想要确保的东西确保你确保没有漏洞或类似的东西，我们有按需扫描和东西，是通过观察和政策。当你定义你的手表和策略时，要记住的一件重要的事情是，当你定义…不好意思，我要把这个消掉。

让我们从这里开始。我们去看看我的手表和保单吧。所以政策是你在评估中制定的规则，然后你采取的行动和我们这里的一些工具是相当可观的。首先，你可以设计不同类型的政策。你有安全问题，你有许可和运营风险。操作风险是我告诉过你们的我们可以告诉你你使用的实际二进制的年龄。但是让我们来看看安全或者这些规则中的任何一个，因为行动不依赖于安全，许可或操作风险，行动是一样的，但是你进去，你定义你想要评估的标准。这是一个弱点。它可以是恶意包和暴露。在这种情况下，我只是要展示脆弱性，看看它们的低、中、高或严重程度。顺便说一下，记得我提到过当创建cve时，有同行评审和测试。

你可以用科学方法得到所有标准的东西。确保你总是有所有的严重性。也许你不采取行动，但总是这样做，因为信息和警告，顺便说一下，在CVE发布之前就出来了，这样你就知道了。只是说这是一项调查或者你决定什么CVSs分数适用于任何时候你这样做。好的，我们这里有所有这些小特征如果你看这里，有一个说如果不适用跳过CVE。这是我们的架构分析，我马上会向你们展示如何实现它。但重要的是，如果你到这里，我们有块下载。阻止下载将回答零日的问题。如果一个新的CVE出现在一个库中，假设你一直在使用J的日志，一个新的CVE出现了，这是关键的，你已经定义了一个规则，在CVE评估方面是关键的，这实际上会停止消耗二进制文件进行下载。

所以这是一种从那一刻起预防它的方法，对吧?因为我们一直在扫描。但是，我提到的事实是如果你想继续，有那些第三方的依赖趋势，新的被引入，你希望你的开发者能够做到这一点，但你也想确保他们没有引入恶意的东西。你说屏蔽未扫描的工件。它所做的是阻止未扫描的工件，允许您继续说，“请求二进制文件”。所以他们会说这个包，他们会做一个MPM安装等等。它出去了，得到了一些东西，所有的朋友，可能是3个，50个，7000个额外的图书馆，它以现金的形式存储在人工制品中。它通过x射线进行评估，如果它符合您定义的标准，它将被发布到开发人员工具中。

如果没有，他们将收到一条消息，表示他们请求的库或他们请求的传输依赖项之一可能存在威胁。所以这是一种方法，你可以确保，在这之前，甚至在你必须进入并尝试解决这些cve之前，这是一种阻止它进入的方法。当你谈到。当我谈到上下文分析时，其中一个关键因素是我们有这个想法，这是我们的高级功能，你可以进入你的索引资源索引资源让终端x射线知道它需要评估哪些资源。2022世界杯阿根廷预选赛赛程它可以是存储库。同样，如果你有任何账单要在这里发布，确保它们被覆盖，以便继续管理你的账单。你只需点击manage build，找到你想要的账单，然后你可以围绕它编写规则。

因此，每次将构建发布到工件时，都可以对您进行评估。但是回到仓库。如果我看看像Docker这样的任何一个，伟大的是，或者这里的任何一个组件，如果我进去，你可以看到我可以说，“好的，对于这个存储库，我想进去，我想配置一些高级功能，比如我想确保我有上下文分析，或者我想检测秘密。我想看看应用和服务。”现在这些特性只适用于Docker。我将解释Docker非常危险的原因。此外，这也使我们能够进入并进行全面扫描，但这并不是唯一可用的地方。但一旦你真正启用了这些功能，让我们看看你会得到什么样的结果。这就是它变得超级重要的地方。

现在我将向您展示一个Docker映像的示例，我们将从这里开始，然后我将向您展示一些其他可用的工具集，以便您可以尽快掌握它。现在Docker是非常臭名昭著的。我喜欢Docker。现在我还可以告诉你，如果你考虑到复杂性，这就是我从这里开始的原因，考虑到复杂性。你有一个操作系统，你有一个运行时，你在这里有一个应用程序。如果你没有看过我们用Docker做的其他事情，在我看来，我们的Docker注册表比任何人都要大十倍。事实上，你可以识别应用层，我给了整个讲座，但由于时间有限，我希望能够展示这个。

首先，这里有一个docker模型。现在这个docker模型…实际上，你知道吗，我要给你看看docker模型。让我们后退一步。这是我在这里创建的docker构建。你可以看到这实际上是，顺便说一下，这是詹金斯的作品。这是我最喜欢展示的一个，因为我认为它确实体现了我们所做的一切。我的意思是，即使作为这个的一部分，我们之前也有x光作为评估这个的方法。你可以做x光扫描。所以当你在建造这个的时候，你甚至可以在x光扫描中说，“嘿，如果你能在这个基础上建造失败。”所以这样你就能一直处于领先地位，即使你是在做准备或一个自动化的过程。 But the other thing too is that when we look at this, one of the other key factors of being able to remediate faster is that here’s your typical Docker registry.

如果你遵循我们的最佳实践，我最喜欢向人们展示的一件事是，如果你遵循我们的最佳实践，你实际上可以看到在你的docker镜像的应用层中运行的是什么应用程序。从补救的角度来看，你甚至可以把应用层放在最上面。但这只是给你们一些关于cve补救的其他部分的想法。比如，也许你想回滚，也许你想看看之前的版本是否没有那个实际问题。但是，让我们回到同一个docker映像的扫描列表。现在，我之所以要使用扫描列表是因为我实际上有大量的信息。我们进去吧。我知道这个。现在我不打算详细讲我是如何得到的，我只知道这是在Docker prod local中。

实际上我查看了构建，它告诉我它存储在那里，因为我可以看到SDLC历史。还有一个关于使用我们的推广API和模拟SDLC的网络研讨会，基本上是更好的构建管理。但就是这样。Docker app，这是我的Docker映像的名称。是151号。这是我感兴趣的版本。我马上就知道有358次违规，其中实际上有一些恶意软件包。你可以在这里看到实际上我有275个漏洞。， 275 cve。我接下来会讲到。我还可以向你们展示我们实际上暴露在六个级别的辐射下。 Think about this too. That means is I have six services somewhere in this container that could potentially hurt me. But let’s go inside and let’s look at this.

首先，我们有违反政策的行为，对吧?给你。我有一些安全问题。我说过我们是CVE，对吧?所以如果我看这个，你可以看到这里，你可以看到它是活跃的，美国的侵犯是活跃的。你可以组织你的二进制文件。这上面也有整件事。你可以看到这是一个关键问题。但你知道吗?我们的安全团队说它是中等。 You can see that it’s undetermined. Now, I’m going to go in and show you a better way to look at this in a minute with contextual analysis. But check this out too. If you look here, this actually is a pretty terrible CVE, right? There really doesn’t tell me much. It just says SQLA has an issue. Well, since we are a CVE, a CNA, we actually provide with more remediation data and we also tell some additional research data that we have there and also some reference materials and also to where is this impacting you?

我们有软件材料清单。我提到过。我之前提到过，如果你谈论像软件材料清单这样的事情，并不一定是这个不可逾越的任务。如果你的安全团队找到你，你的法律团队，说，“嘿，我们需要开始为法律目的使用软件材料清单，等等，等等。”如果你在用我们，这是软件材料清单。你甚至可以导出这个信息为SPDX，回收DX。您还可以创建报告。我现在就来解决这个问题。我的意思是你的安全团队会要求你提供报告。如果你是一个开发者，你正在看这个，这不是你真正想要的。 But here’s the thing. I usually ask people, whenever I show this to them, I said, I’ve got 275 vulnerabilities. Now think about this. I have to, as a team for security purposes, I need to investigate 275 vulnerabilities.

这有什么用?好吧，这要花我钱。不要把这些看成是无关紧要的问题，它们让我付出了代价。第一，它让我丧失了开发新特性和功能的能力，因为现在我必须重新引导我的工程团队去做这件事，对吧?您需要解决这些安全问题。其次，它会延迟发布。这可能会影响你的收入来源，对吧?因为现在的问题是，这些问题可能会推迟新功能的推出，而这些新功能可能会让你比实际的竞争对手更出色。还有，你知道吗?你受这种影响有多久了? But first of all, how do I go through and say to myself, “well, where do I start?” But what if I were to tell you, if you’re actually uploading these into artifacty and using our X-ray with our advanced features, I could tell you, when I just do a quick sort, that actually added this to 275, 70% of these actual CVEs are not applicable.

不适用，它们是假的。你知道为什么吗?所以我们要做的就是从实际的CVE的背景出发，看看实际的问题是什么，然后把它分解，然后说什么是邪恶的成分?我们扫描二进制文件，在这里是构建文件，对吧?所以我们扫描这些部件，然后问:“你在利用这些部件吗?”好的，如果你看这里，上面写着，你知道吗?此CVE不适用。您没有使用特定的组件。所以你基本上可以忽略这个，因为让我们面对它，如果你理解cve，你可能有一个包含100个函数的库，其中一个函数是潜在的威胁，可能是严重的威胁。它被标记为临界。 If you’re not using that function, do you need to be aware of it? Yes, but do you need to take action on it?

不。我们会告诉你，你不会受到影响。如果你开始使用它呢?记住，我们是连续的。我们会把它的实际定位从适用，在这种情况下不适用变成，在这种情况下，适用。在这里，对吧?所以如果我进去，我…哦，对不起，我点错地方了。但问题是，我们实际上可以在这里向你展示这些组件，然后说，“是的，这些都是适用的。或者你知道吗?这里有一些恶意软件包。” We’re cutting and I don’t not really have any in this case, but you know what, if there’s secrets. Well, here you go. You know what? We just found a weak password and we show you exactly where it is. This is actually, once the build has been completed. We give you that contextual analysis ability to go in and look at the pieces that you’re doing and say, you know what?

实际上，我们开始吧?就像我说的，当我们返回这些值时，这些是不适用的。然后我在这里有其他适用的。最重要的是我们会告诉你在哪里。给你。这是两个直接的位置。我缩短了你的补习时间。我告诉过你哪些是适合你的，这样你就可以进去修了。我告诉过你，其中70%都是假的。所以现在你只剩下30到35个漏洞了。 Well, that’s great, right? Here they are. They’re undetermined. We let you know. But that’s just one part of this, right? Understanding that, because remember, you can go in here at any time and look at the pieces that you have here and also determine whether or not you need to go investigate it or not.

这通常不需要。基本上需要更少的时间，因为在某些情况下，就像这里，这恰好是实际的码头服务器。是的，在这种情况下，有一个高CVSs评分值与此相关。但是你利用它了吗?这是你们自己决定的。在这种情况下，这实际上恰好是jeti的依赖项。这就是我说过的服务。这些就是事情。在这种情况下，引擎X不支持TLS。你可能想解决这个问题。在这种情况下，这里还有一个。 Oh, this is a different one. But you know, get the idea. I can go in and see are these things here, but where are the other ways I can do this? Well, let’s go ahead and let’s go to the developer.

所以我向你展示了如何在我们的艺术工厂内快速修复它。这里有个例子。在我正在做的MPM构建的包JSON的情况下。好吧，看看这里。我们实际上有一个ID插件叫做JF frog。如果你仔细看，你可以看到这里有一个小符号。如果我把鼠标悬停在这里，你可以看到我们实际上是在这里直接暴露cve。我们实际上在最重要的地方标记了库，开发人员。好吧，我们进去看看吧。这是我找到的CVE。 Well, you know what? This CVE is applicable. Look at that. As a developer, I don’t have to go to the UI. I’m actually, as I am coding in this, I am coding this and using dependencies. We’re letting you know where it’s available. Here’s the information.

哪里可以买到?好吧，就在这里，这是一个关闭的太阳。你知道吗?嘿，这个，我要去看看。我可以继续点击这个，它会直接带我到这个CVE所在的位置。想想这个。通常你会从你的安全团队那里得到一份CVE报告，然后说:“好吧，调查一下这个。”或者你会收到通知。在这个例子中，我给你们看的是这个文件，我们在文件中找到了CVE。在这里。 And we actually even highlighted the actual potential threat cause right here. Here we go. This is the CVE that’s applicable. We’re cutting down the amount of time it takes somebody at the developer to do this. We even offer the same sort of information. If you’re using our J frog, CLI. I mean you can even audit any of the things that you’re doing and get the direct information right here.

如果你在这里下载jar之类的东西，我们也会提供。我下载了一个创建的jar，在使用它之前我做了一个快速扫描。我们让你可以在那里看到它，也可以看到。现在这不能让你看到一些背景，但是背景会出现的。我们甚至将这些信息扩展到像Docker桌面这样的东西上。实际上这里还有一个扩展。如果你下载了任何你正在做的东西，你可以看到，嘿，我下载了这个。即使它不是藏物，那里有什么潜在的威胁或邪恶的东西吗?但是当你在做这些的时候理解所有这些关键概念是很重要的，因为理解当你知道的时候所产生的价值可以及早发现，并且经常发现可以让你更快地补救。实际上，通过使用ID插件，CLI，给你任何级别的信息，关于你正在使用的东西，并且能够继续并描绘出任何这些实际的潜在问题。

我的意思是，275个漏洞，任何开发团队都会看到这个，然后说，“哦，我的天哪，我们该怎么办?”我的意思是，这可能会很痛，但我们确实为你提供了。我的意思是，作为一个开发人员，如果能够得到这些信息，并且能够说，“是的，你知道吗，我们必须解决这个问题，这不是很好吗?”自动，你会听到公司谈论库的自动修复总是最新的。在某种程度上这是个坏主意，对吧?你要在这里测试。我们会告诉你，这是固定的版本。所以我们甚至为你省去了一些猜测。开始吧。是的，这是适用的。 You know what? Actually, if you upgrade to version nine, O, that should fix it. And this allows you to go ahead and look at what public sources are there. We also let you know, in this case this was a direct transit of dependency, but I’ll tell you right now, we have other ones too that where we can go in and we can show you the different impact paths on these actual binaries, these CVEs.

如果我拿起这个给你们看这个CVE。我可以向你展示这是第三层传递依赖，也让我知道我可以继续修复它。但在这种情况下，因为你不确定，所以它是未知的。所以你得做点调查。但我们在参考资料中为您提供了足够的信息，以便您更快地完成此操作。就像我说的，如果你想在任何产品上获得最大的投资回报率，你总是一个安全产品。你总是要在开发人员层面做。这是最重要的。记得回顾一下，我们有jfrog CLI，我们有ID插件。你也可以，顺便说一下，我们还有其他的方法，我应该很快地讲一下。 We have integrations to things like Jira, so you can actually go ahead and actually get all this information as a Jira ticket that’s actionable.

顺便说一下，最好的部分是，如果我点击这个，它会把我带到实际的库，我这里的包。所以我知道，我可以继续看它的x射线数据。我们开始吧。这些就是所有的弱点。我可以选择这个，并直接从我的Jira票中找到关于这个漏洞的更多信息，我喜欢它。如果你在使用MS Teams或Slack，看这里，你可以使用我们的Slack插件在这里你可以看到你可以用x射线和人工制品做很多事情，但它也给你一种获得持续警报的方法。是否出现了新的威胁和漏洞?在这种情况下，我可以点击这里然后跳转到我想要的演示实例或者去看另一个。

这就是直接积分。就像我说的，你知道，可以使用任何其他工具或者任何其他CI工具在这种情况下，我实际上，在这种情况下使用。我正在做另一个构建，我使用Azure DevOps之类的东西，这需要一点时间来加载。但我们甚至还有其他类似的产品，我可以向你们展示我们有人hth华体会最新官方网站工制品，这里的所有东西都是在你构建的任何时间点计算二进制文件的。了解如何从根本上保护您的平台，并让您的开发人员能够更快地进行修复，这才是这里真正需要考虑的关键问题。J Frogg通过上下文分析，秘密检测，将这些问题分离出来，以便更快地修复和攻击它们。

记住，最大的威胁其实并不是威胁本身，而是它所耗费的时间减少了你的组织为解决这个问题所花费的金钱。因为就像我说的，这些将帮助你更快地解决问题，这意味着你可以更多地创新，更少地补救。所以你补救得越快，你的组织就越好。好了，非常感谢你们抽出时间。我真的很感激。如果你有任何问题，请告诉我。你可以在J Frog或Twitter上联系我。我希望每个人都有一个美好的一天。注意安全。保护你的公司，保护你自己。 Cheers everyone. Oh.