使用Microsoft Teams和JFrog消除竖井并加速安全响应

视频记录

大家早上好，下午好，晚上好，这取决于你们今天在哪里参加我们的会议我是Fanette Jobard，我将是今天网络研讨会的主持人我们的网络研讨会将是消除孤岛，加快与微软团队和Jfrog的安全响应，我们很高兴向你们演示和介绍新的Jfrog和微软团队，呃，内部集成抱歉
嗯，在我们开始之前，先讲一些日常事务本次网络研讨会正在录制
如果你错过了什么，不要担心，我们将在24小时内发送录音
如果你对研讨会有任何问题，请发邮件到webinars jfrog。com
还有一个提醒，请使用你的底部的聊天窗口
我们今天有专家在电话会议上，我们很高兴回答你所有的问题，所以不要害羞
我要开始介绍我们今天的演讲者和议程今天的网络研讨会将由主持人主持
由maida由JFrog的软件工程师，亚历克西斯·金斯林
微软全球软件架构师maita和Alexis，我想是
非常感谢
就像你今天说的，我们会做一个关于微软的网络研讨会
团队作为devops的协作平台以及我们如何集成jfrog
进入微软团队生态系统进行同样的实践，我的名字是亚历克西斯，我来自微软
我是一名现代工作解决方案架构师，很高兴今天能成为你们的主持人
所以如果你如果我们想到devops，我确定如果你想到这个
在今天的网络研讨会上你们应该对devops有一定的了解所以让我们先来看看
给我们简单概括一下发展的定义我们通过人员流程的结合
技术上的不同之处在于devops已经非常大了
部署和使用作为一个实践，以加速软件
开发周期，所以有了devops，你加快了节奏
你为产品提供的功能和价值，但这也是一种安全的方式
就代码质量而言，随着过程和自动化你的代码质量将会
增加，解决方案的安全性也会增加，这是devops的第三个好处
是围绕着连续循环的所以你不只是设计，然后建造，然后运输你做的
这是一个持续的循环质量和专业知识的提高
反馈看得快得多，所以你学得很快，失败也很快
快速学习，但是，当我这么说的时候，我的意思是devops总是一个人的问题，过程和
合作，这就是我们今天要深入探讨的我们观察到的
当人们能够很好地合作时，开发周期就会很好地工作
流畅的合作和糟糕的合作
这也意味着生产力，或者至少你不能从devops中获得所有的好处
所以我们大多数时候观察到的三件事是其中有变量或摩擦
循环，所以第一个是围绕着循环，为什么我们有沉默，只是因为
我们让人们使用不同的工具和解决方案，所以devops锚点是唯一的，而不是唯一的
其中一个活动是一组按顺序进行的活动
在一个循环中，你必须一次又一次地这样做
但如果工具和解决方案没有相互连接，那么你就失去了这种协作的努力和效果
因此，竖井对合作和过程的速度有影响，所以，嗯，节奏
所以这些过程和工具是不相连的
这种情况和影响，将是非最优的传播权
另一件你要避免的事情是如果你让不同的人使用不同的工具可能是因为它是到期的
他们对解决方案不了解也不熟悉或者他们没有解决方案的许可你将处于
在一个缺乏透明度的文化中，这是一份不错的收入
哪些小组观察到最好的合作发生在我们称之为哦
大声说出来，我想告诉大家发生了什么如果你对我不感兴趣
只是说听，不要听但至少默认情况下你可以自由地获取信息
我们如何消除这种干扰
微软团队是我们所说的协作中心所以不只是微软
你可以创建广告，这样你就可以同步或异步聊天
创建会议，你可以分享你的屏幕，你可以和你的同事进行互动电话
所以你可以合作，这是一个你可以轻松合作分享内容的平台
当团队被部署在一个组织的规模时组织中的任何员工
可以是开发人员、开发工程师、产品经理，甚至是人力资源部门或其他部门的人
该组织将能够使用微软的技巧并进行协作
这是第一个关键的方面微软团队确实是协作的推动者
第二部分是微软团队也是一个平台
当我遇到一个平台时，我的意思是你可以带来并整合你的解决方案
融入微软团队，如果你考虑到所有的工具和过程，我
前面提到过，您可以将此解决方案引入Microsoft团队的上下文中
利用微软团队进行更好的合作，消除障碍，消除藩篱
所以当我提到团队作为一个平台时我们有一个非常广阔的生态系统所以不仅仅是我们
每个月有2.7亿活跃用户吗
所以这真的是一个大规模的解决方案，但你也有超过1000个应用程序
可以在商店里买到，其中一些是专门用于devops实践的，所以你有很多
在你的devops实践中，已经存在的解决方案和最流行的解决方案已经存在了
可用的开箱即用，也是专门设计的
集成到微软团队中，对吧，所以它不像在团队中复制粘贴解决方案它真的是一个很好的
与微软团队的整合，这样你就只拿相关的东西
而什么都需要使软，不仅是你可以使用的东西
这是开箱即用的，但你也可以定制和击败你自己的解决方案
那么，让我们来看看如何将团队作为协作工具映射到devops周期中，这里是一个快速的概述
devops周期中不同的活动我们会详细讲但你们知道这就是这些
不同的活动，所以通常人们会参加不同的活动，但不是所有的活动
你可能对平面化阶段或测试阶段或监控阶段感兴趣，但也可能不感兴趣
所有这些，但无论如何，如果你在应用devops实践，你将经历所有这些活动
所以问题是你将如何组织和建立这个
团队合作使用微软团队的解决方案这是微软团队
你可以从盒子里拿出来基本上微软的团队你要重新组织
团队使用团队这个术语，所以基本上是一群致力于一个项目的人
会是一个软件或者一个功能或者比如说你在做下一个
你的电子商务网站的目录，那么嗯，你是作为一个未来的团队工作，作为一个团队，你需要合作
为了实现这个目标，你需要组织和创建一个团队，所有的人
这个活动贯穿于整个devops周期，所以团队的概念将是
将一个渠道分割成不同的渠道，就相当于开发了一个活动
这样我的团队就可以组织不同的活动，我就可以直接跳出常规
来自微软团队的所有协作沟通工具，所以我们可以聊天，可以开会
创建调用，我可以创建递归或循环会议，我可以共享文件
我可以把我的应用程序带到这个环境中，所有东西都是定制的，所以它不像
一刀切——它实际上是基于您自己的实践的定制解决方案
您可以调整定制，定制体验，并带来对您有意义的解决方案
如果你找不到你需要的解决方案，你可以建立你自己的，所以如果我们点击并放大
这是我的团队这是我电子商务网站的开发团队然后我会组织
devops周期的不同步骤进入通道，有趣的是，一旦你
是否处于一个你已经自动化并且你知道如何构建一个可以自动化的开发软件的阶段
创建这样的环境假设第一个团队正在以一种特定的方式工作，你想要复制
这个设计，这个命名惯例所有的步骤
适用于你的组织，然后你可以自动化它，使它可重复，所以你会说，创建一个团队选择
模板单击确定，然后命名我们创建的所有通道
所有附加到这些活动的应用程序将自动被删除
在你的环境中自动部署和激活所以这里我们看到如果我是
作为架构的一部分，我可能会安装，比方说世界或者
一个节点，因为我想做笔记，我会分享活动如果我负责的话
cdci管道，我将带来与此相关的应用程序
活动，所以我需要带来关于我的代码库和我想知道的发布管道的信息
我的PRR和其他东西在哪里如果一切都顺利进入生产
所有东西都是可定制的所有东西都可以模板化，你可以灵活地
整理好你需要的工具，现在让我们快速
一个额外的放大三个具体的过程或活动的一部分
devops周期第一个是澄清这个非常有趣
很重要，因为我们现在越来越多地工作在一个混合的世界里，所以基本上人
从办公室走出来还是从家里走出来
所以能够管理你所创建的位置的概念
团队我们称之为空间空间是你们合作的地方
你身在何处并不重要，重要的是合作发生在何处
想想你每天的冲刺假设你是周四早上9点然后
你有你的约会屏幕会议所以你要做的是我看到在一般通道有一个
正在进行的会议，所以会议已经开始了，我看到了，你现在可以连接并访问你将要访问的会议
打开你的摄像机你会跟大家打招呼然后你会参与到呃
这个讨论是对的，所以这个交流部分是非常有用的
它需要协调活动，确保每个人都是一致的
好消息是，如果你错过了电话，或者你在不同的时区，你不能参加会议
然后你就能拿到记录你知道谁参与了，如果有的话
在会议期间发生的聊天和讨论，你甚至可以听录音或你可以
阅读会议期间分享的所有信息，然后你也可以分享你自己的想法，然后回复你
可以发表评论，这样即使你不在现场，你仍然可以参与讨论，知道他们说了什么
以我说过的你可以组织的日常会议为例
这一步就像我每周冲刺回顾的每日scrum会议，作为这个活动的一部分，我
会分享一些信息我想分享的一个信息是我的
特性列表，我想更新我在这个特性中的位置，以及团队在未来交付中的位置
你们在屏幕上看到的是蓝色的devops板
直接给微软团队，所以当我和我的团队的其他成员讨论时，每个人都仍然坐在微软
团队和我不需要跳到另一个外部解决方案，我将直接分享
我的屏幕或者每个人都可以在微软团队中访问相同的仪表盘所以如果你想想哦，是的
请访问此url或请连接到这两个以获得该问题没有的信息
不再发生，因为一切都是集中的，并且已经配置好了，所以新成员的登录
团队真的很方便，你如何发现和获取信息真的很方便
结果，由此产生的合作也增加了
另一个例子就像发布管道在那种情况下场景有点
不同的是，作为发行渠道的一部分，我想知道发生了什么，所以我想知道
如果有，如果有什么东西被挡住了假设这是我的响应线的一部分
一门又一门要求我不认识一、二、三个人的审查
状态，有一个手动批准的发布管道，所以
会发生在这样的情况下我可以被通知到微软团队说嘿，我需要你的注意，可以吗
请回顾这个活动并确认，因为我们需要你确认
释放到下一步发生的另一件有趣的事情是
在这种情况下，jfrog发送的所有安全事件现在都可以进入它的通道
有趣是因为可能有些人会对这些信息感兴趣，但可能无法访问
到默认平台，所以现在你打开了，这是大声说出来的概念，这是人们
是否可以访问团队但可能无法访问Jeffrey仍然可以访问信息
他们甚至会在提到其他人的时候回复信息，这样他们就可以
意识到并告知正在发生的事情所以基本上我们能够
加强在这个过程中可能发生的合作，然后一旦在团队中进行讨论，那么你就可以
将这些信息直接从团队的平台反馈回jfrog，这是一个双向的交流
当事情被通知给团队时与一个扩展的团队进行合作，然后当
讨论结束了在这个例子中，你可以把信息推回到jfrog中所以，这里我们
将工具中的多个工具连接到微软团队中，协作发生在这里，我们丰富了信息
我们把它推回到原来的系统中
我想和你们分享的最后一个用例是关于事件管理的这个非常非常有趣，因为
事件管理是一个棘手的情况基本上你永远不知道
当一个事件发生时这只是一个事件的性质所以你不知道会发生什么，所以你
要能够快速反应，当我说你要快速反应时你要采取行动，所以你必须这样做
找到合适的人来解决问题大多数情况下，你需要两件事
一是确保管理决议的人都在
这是一种安全的气泡，所以你不想打扰它们因为它们正专注于解决问题
与此同时，有些人想知道我们在哪里，所以你需要正确地沟通
所以这两者之间有一种平衡，我在开会，所以有
一个事件，团队连接到微软团队，在此之前，他们收到一个聊天进入一个团队，他们可能
也收到了一封电子邮件他们收到了一条短信所以基本上发生了一些事情，我们每个人都会
加入一个电话，因为要快速反应，你需要合作，你需要有一个面对面的艺术家或
远程会议通过这种类型的视频通话，你可以看到，作为会议的一部分，我确实有一个应用程序
在这种情况下，它是它是pagerank职责所以这是一个古老的管理工具，你
所以所有的参与者都有他们需要讨论的信息，知道他们在谈论什么
会议期间将作出的所有决定都是直接的
插入到事件管理系统中，也插入到微软团队中，这是一件好事
团队将会开会，他们有所有他们需要的直接信息
插入公司的事件管理系统，然后就可以做出结果和决定
分享给更广泛的受众，这样就不会丢失信息，也不会
浪费时间，这样人们就可以集中精力解决问题，然后沟通
方便是因为基本上你只需要进入这个环境就能获得最新的信息
关于发生了什么以及蒸汽在分辨率中的位置好的，再次强调
这就是微软团队在协作中促进devops过程的方式以及我们如何删除所有
为了使这一过程更有效，我现在将把这些障碍交给海地
更多关于jfrog如何集成到微软团队的信息
大家好，我是mahitab，很高兴今天来到这里，我是一个软件
他是jfrog工程团队的工程师
所以shape jfrog是一家devops公司，帮助你快速进行软件更新，我们有一个完整的平台
工具套件，帮助您存储、管理工件、构建二进制文件、qa依赖项、扫描组件
安全问题和快速发布您的软件
因此，在jfrog，我们相信，在一个软件是我们所做的一切的一部分的世界里，保持软件的更新
速度和效率是在devops中取得进步的唯一途径，这可能也意味着您
改变你管理软件发布的方式，在过去的日子里，应用程序被构建成一个巨大的庞然大物
更新速度慢，构建时间和部署都很麻烦，团队构建的微服务允许
您可以通过ci CD以更增量的方式合并代码，有时一天多次进行小增量
变化，所以当漏洞公开时，比赛就开始了，这意味着你需要修复易受攻击的开源
在你的应用程序被利用之前，x射线帮助你通过给予来赢得跟踪
您所使用的开放源码的完整视图，以及报告的新漏洞的最早通知，使您能够找到一个
快速修复这些漏洞
我们今天hth华体会最新官方网站要讨论的产品是jfrog artifactory和jfrog X-ray，以及微软团队如何在其中提供帮助
与开发和运营合作jfrog artifactory是一个存储的地方
大型二进制文件和组件，并管理软件发行版的不同版本
x射线是我们的安全和许可合规工具
我们的通用绑定库管理器是用来存储所有代码的
现在，artifactory真正的亮点在于能够存储所有的大型二进制文件，工件和文件
与那些二进制文件和可能需要从那些远程存储库中提取的依赖项相关联
Artifactory支持超过27种不同的包类型，包括docker映像库、模块NPM等
使artifactory脱颖而出的是包装类型的数量和我们支持的技术
世界上最通用的二进制存储库管理器，所以当一个团队有一堆
不同的编程语言组成了一个软件，或者他们需要在不同的应用程序上工作
环境artifactory可以用于管理所有这些复杂性，以无缝的方式，重点是
为您提供元数据，可以帮助您清楚地了解应用程序所发生的一切
Jfrog x射线是为了做软件组成扫描的所有文物在每个存款和您的
当发现新的漏洞或出现许可证问题时，您可以通过x射线获得通知
Jfrog x射线的主要分析类型被称为软件成分分析，这意味着它会查看您的
二进制文件对所有工件和与之相关的依赖项进行递归扫描，以便查看
每一个单独的文件和组件，每次构建一步到容器层，然后一次
完成每个组件的扫描，它甚至用安全元数据丰富您的存储库和工件
在演示中，你会看到x射线提供的信息为什么要使用x射线而不是其他
安全工具的主要原因是它与人工的深度集成和提供
x射线使用的二进制文件和文件中所发生的一切，您都可以通过一个单一的玻璃窗格查看
最及时、最全面的漏洞情报数据库包括1db
加上其他来源的信息和x射线也可以用来减轻假阳性和解决安全和
合规问题尽快与补救信息
因此，扫描开放源码二进制文件和存储库账单和容器以查找安全漏洞和许可证
合规性问题很容易与x射线x射线还有助于比较二进制文件与大型数据库内部
漏洞和公共数据库也提供了上下文分析
以确定它们是否可以被利用，以最大限度地减少误报
它还可以实现手动安全任务的粒度自动化，并检查它创建了详细的影响路径或
分析所发现的任何漏洞，它也非常容易集成
客户为与微软的集成开发生态系统
我们所做的是，我们可以创建通知，出现在你的频道中，作为一个互动卡片
有关于漏洞的元数据，包括严重级别、描述、文件信息等
您还可以对其中一些文件采取行动，包括选择忽略某些违规，如果您或您的
团队认为这不够严重或相关
因此，让我们先熟悉一下今天的用例，了解如何使用jfrog X-ray和Microsoft
现实场景中的团队管理安全事件
在我们的场景中，我们将讨论一个著名的游戏平台网络初创公司
Spartak是我们今天要讨论的游戏公司，它使用了数百个开源软件
图书馆，所以我们不能我们不能确切地确定是否所有的开源图书馆
是安全的和最新的所以摆在我们面前的问题是大约80个软件包
现在使用的都是开源的，每次导入一个包时你都必须确保具体的
版本没有任何漏洞，但在部署开始时标记为安全的包可以
后来发现有漏洞，但还没有修补，这被称为零日漏洞
spartix软件组件冻伤已经部署，看起来它有一个刚刚报告的漏洞
这个漏洞是团队用来创造多款游戏的依赖项，如果它被利用了
该漏洞将允许黑客通过拒绝服务使所有依赖于冻伤的游戏崩溃
先是袭击，然后是西班牙人
这可能会变成一场灾难所以现在时间是一个很大的因素幸运的是斯巴达克使用的是jfrog x射线
该漏洞报告给国家漏洞数据库的那一刻xt就在
sparx人工存储库中的组件，并提供了关于此问题的CV CV详细信息
所以我们接下来要做的就是通知正确的队伍
因此，斯巴达克需要提醒开发人员和其他负责缓解和补救的团队
他们需要让正确的开发团队参与进来，以应用修复程序，推动变更通过阶段测试和
这样固定的应用程序就可以重新发布这就是展示的开始
jfrog x10和微软团队之间的集成，因为有许多团队参与管理一个复杂的软件
在团队渠道中提供信息，让我们打破孤岛，真实地讨论每个问题
时间斯巴达克正在使用jfrog x射线，并已经在他们的通知设置
微软团队渠道
让我们来看看这个演示是如何进行的你们将会看到我们微软团队的整合
每个意识到问题的成员都让他们在应用了修复程序和新的工件时保持更新
上传，所以它可以让团队在发布软件时进行协作，以及这个用例中的团队成员
开发ops的首席信息官是开发应用程序和应用程序的软件工程师吗
Jfrog管理员，负责深度团队的运营和开发
现在让我们看看ms团队在spartax软件开发生命周期中扮演了怎样的重要角色
所以第一步是在jfrog平台内部x射线发现一个新的漏洞
这些信息通过网络链接发送到微软团队频道，其中包括问题的摘要
从明显的违规事件来看，这是一个高度严重的事件，可诉卡也有丰富的信息
有了受影响的工件，它的路径和漏洞组件，这使得更容易识别和
跟踪问题
因此，deep通知了安全工程师这个问题，然后向首席信息安全官和她征税
请您确保所有的开发团队都被告知
X-ray具有可以生成的报告，这些报告提供了围绕特定存储库或数据库的所有问题的详细视图
在特定的时间范围内，确保为cso办公室生成一份报告
同时在jfrock平台内部生成报告
我们的安全工程师卡尔已经调查了这个问题，实际上发现有人做了一个固定的修复
并创建了一个团队正在使用的软件包的新版本结果是下一个版本
此包1.15.1是否已修复该漏洞
该团队包括相关的软件工程师，并要求他们引入新的包版本，即1.1 5.1
开发团队导入新包，并上传具有包安全版本的二进制文件
包括他们将其部署到登台服务器，然后准备将其通过构建管道推向生产
在微软团队x射线通道中有一个通知，显示这个新的二进制文件已经上传
在此过程中，我们的开发工程师卡尔重新扫描了上传的工件，并确认没有
漏洞在此版本的应用程序的构建管道，然后启动作为
应用从登台到测试，再到qa阶段，最后进入产品阶段
部署
然后，软件工程师通知团队构建已经成功升级，开发ops工程师确认这一点
x射线仍在监控作为账单一部分的存储库，到目前为止还没有发现任何问题
然后我告诉每个人应用程序现在已经上线，汽车会确保他们知道新的应用程序已经被扫描
没有弱点，当然还有我们办公室的凯瑟琳
是快乐的，这是一个成功，因为你可以看到jfrog集成
有了微软团队，团队成员的工作速度比所有这些信息都是单独的要快得多
在jfro平台上，您公司的大多数团队成员可能无法登录jfrog，但是
他们中的许多人将使用微软团队，这是实时信息和沟通能力
集体在渠道允许斯巴达克补救这一问题迅速这一过程将允许公司
更快地创新，同时保持应用程序的安全发布，这是我们的座右铭
最后一件事我想告诉你们的是我们的微软团队集成也有一个总结卡视图
在您的漏洞和许可问题中，我们发现一些第三方软件包可能附带数十或数百份简历
问题，当你创建通知时，默认是我们的摘要视图，它会给你所有的摘要
高、中、低漏洞的总和
你可以通过微软团队的应用程序区搜索jfrog来获得这个应用程序
如果你是jfrog的新手，我们有一个免费版本的jfrog软件，包括x射线安全扫描
您可以从下面的链接获得它，并且可以开始在您的Microsoft团队中创建安全通知
马上
有问题吗，谢谢媒体和亚历克西斯，我
我们还有时间提问题我们已经在网上有几个问题了第一个问题
是否可以将多个GPD连接到一个帐户
是的，这是可能的，我们支持多租户架构
好的，我们还有一个问题，x光是否能提供实时监测
进入我的应用程序，以及它是如何工作的是的，x射线确实提供直播
监控，所以无论何时，你计划部署的应用程序都有特定的工件
存储库，您已经创建了与之关联的策略和规则
一个特定的手表手表扫描所有的漏洞或许可证合规问题，存在于
特定的存储库和任何时候一个新的漏洞弹出，它自动发送回微软
团队和各自的团队成员得到通知
谢谢，我想这些都是关于这个问题的除非我们还有其他的问题
时间差不多了如果你有任何其他问题请随时在网络研讨会上给我们发邮件
在jeffrock.com网站上，邮件通常会马上发到我的收件箱里，我们可以一对一地回答问题
我们很快就会把录音发给你们谢谢玛丽塔和亚历克西斯
感谢你们参加今天的网络研讨会，我们期待在网上见到你们
祝你今天愉快