以开发为中心的安全终于来了|宣布JFrog高级安全
世界上第一个以现代DevOps工作流程设计的安全解决方案
今天对JFrog来说是激动人心的一天,也是向确保端到端软件供应链安全迈出的重要一步。JFrog高级安全是我们针对以DevOps为中心的安全的独特方法,也是专门为当今现代DevOps工作流构建的唯一解决方案。
开发人员和DevOps基础设施现在是当今黑客和不良行为者的攻击媒介。无数的工具和流程,更不用说大量的开源库和二进制文件,都为软件供应链中的意外和恶意风险注入带来了机会。作为软件供应链(SSC)的所有者,DevOps团队已经成为组织中事实上的“安全所有者”。同时,安全团队正试图平衡多个工具、配置、报告等(这些都需要开发团队资源),并对遵从性和业务需求负责。2022世界杯阿根廷预选赛赛程
目前,没有解决方案能够充分地连接这些组,或者交付统一的数据和见解,有效地使安全团队成为开发组织的任务主管,开发组织被请求、过程和规则所淹没,而这些不是他们的核心竞争力。此外,团队经常受到无数点解决方案的阻碍,这些解决方案需要集成技术、报告和聚合,当然还有手动分析和评估,以及提供不同的上下文和不集中的补救建议。
我们需要一种不同的、全面的方法来应对软件供应链安全威胁的新时代。
DevOps的安全性
JFrog是端到端二进制管理的先驱,这是其液态软件愿景背后的核心技术。随着从开发到生产的软件管理的自然(但实质性的)演进,安全性成为了这一演进的关键组件和关键推动者。
促成这一演变的关键因素有很多,包括:
- JFrog的独特地位作为开发人员、产品和安全角色之间的桥梁,以及作为其核心支持管理和控制供应链的平台。
- 最近一系列安全大事件如Log4Shell,Spring4Shell,SolarWinds等等,增加了整个软件供应链对安全性的需求,而不仅仅是专注于源代码分析的左倾安全方法。
- 新的安全要求和规定这些命令几乎每周都在起草,对企业和政府机构都有影响,包括最近的2021年5月的总统令第7900号法案,白宫管理和预算办公室(OMB)备忘录透过安全的软件开发实践,加强软件供应链的保安。甚至在最近,我们看到新鲜软件供应链指导来自英国国家网络安全中心以及欧盟的额外倡议。
最重要的是,JFrog独特的二进制级方法提供了源代码之外的洞察力,这使您能够真正理解软件中真实的安全风险和所谓的安全风险。
安全来自于单一的真相来源
全球数以百万计的开发人员和数千家公司,包括大多数财富100强企业,已经依靠JFrog解决方案来安全管理他们的关键任务软件供应链。JFrog平台是他们管理关键软件资产(二进制文件)的集中的、单一的信息来源。想要提供真正的端到端安全解决方案的安全供应商完全依赖于对这些资产的访问。毕竟,如果不控制中间,就无法向左或向右移动。
“向左转移”的方法是不够的
源代码玩家(如SCA工具和典型的AST - SAST、DAST、fuzzer等)明白,源代码分析不足以真正分析上下文。上下文理解只能通过查看软件二进制文件来实现,它包含比单独的代码更多的信息。容器、归档,甚至是简单的EPM文件都提供了软件旅程的图像。由于二进制文件是交付给客户的最终资产,因此它当然是当今攻击者的目标。没有这些关键信息,就不可能提供确定风险的上下文理解。如果只关注开发人员的IDE,则无法以有效的、优先级的方式全面识别、修复、减轻或修复已确定的问题。安全性需要从代码、编译代码、映像、构建、发布和运行时进行整体处理,以便全面。
为了运行时安全性而向右转移是不够的
专注于运行时和生产(如云安全和容器安全)的企业安全解决方案正在向左移动一点,但远不及纯源参与者。为了通过DevOps流程将生产过程中的发现反馈给开发人员,他们按照自己的需要来做。
对源和二进制文件的可见性是供应链解决方案的需求。如果一个产品不能在二进制级别上看到供应链的中心,也不能从内到外提供可见性,它就不会也不能提供全面的安全性。
通过收购Vdoo, JFrog大大加快了其构建和提供专为DevOps设计的安全解决方案的安全之旅。二进制分析功能由巫毒带来再加上JFrog平台为DevOps提供的集中式“事实来源”,实现了真正的端到端安全性和控制。它提供了统一而有效的体验,极大地减少了开发人员、DevOps工程师和安全主管的开销。
去年一整年,JFrog x光和Xray数据库得到了显著的增强和改进,将Xray转变为企业级的领先产品,涵盖了通过IDE用例和深入的二进制级分析的左移。今天,随着JFrog高级安全的发布,JFrog的安全产品已经取得了巨大的飞跃,成为一个全面的安全解决方案,旨在融入您的DevOps工作流程。JFrog高级安全-增强了Xray的许多创新功能-解决了现代供应链威胁,与JFrog Artifactory一起作为二进制文件的单一控制来源,所有这些都在一个平台中。
介绍JFrog高级安全
JFrog高级安全增强x射线与许多新功能,都与供应链威胁有关。为了提供这一新的安全层,我们首先对JFrog Xray进行了实质性的增强,包括JFrog安全研究团队关于CVE和恶意包的专有数据,以及添加到数据库中的CVE文章中的细粒度补救和缓解说明。我们投入了大量资2022世界杯阿根廷预选赛赛程源,使cve和许可证上的JFrog Xray数据更加可靠,增强了JFrog Xray的可扩展性,并显著降低了数据更新延迟。还添加了“操作风险”策略功能,以根据软属性(如维护人员数量、维护节奏等)来决定包阻塞。
JFrog x射线的核心技术方法是基于高效和准确索引包元数据的。JFrog高级安全添加了一种新的深度二进制方法扫描查看无法通过包管理器、SBOM或典型元数据访问的数据。因此,它允许对分析的二进制文件的安全状态有一个全新的理解,特别是当涉及到容器时。指定的扫描器允许识别在大多数情况下无法通过源代码分析发现的安全问题。使用这种深度扫描将使我们能够第一次以上下文的方式全面了解安全问题——不仅可以识别对其他人来说是盲点的问题,还可以了解它们在生产中的潜在影响。这要感谢他们对软件的更广阔的视野,与单独的源代码分析相比。
作为JFrog高级安全性的一部分,现在可以使用的新功能:
1.cve的容器上下文分析
我们从开发人员那里收集到的关于SCA工具的最常见的输入之一是,它们产生了太多的结果,要求他们修复许多实际上不会带来任何风险的漏洞。我们还了解到,由于缺乏上下文,这些结果的效率低下或优先级不正确。传统的CVSS评分方法创造更多的复杂性,因为他们没有考虑到特定的配置,安全机制和分析软件的其他属性。
JFrog Advanced Security为容器引入了一种首创的功能:通过深入分析容器及其特定内容和属性,在发现已识别的cve时检查其适用性。例如,它会检查第一方代码是否调用了与特定CVE关联的易受攻击包中的易受攻击函数。它还将扫描其他配置和文件属性,以判断是否满足利用CVE的先决条件。在新的供应链安全法规时代,例如7900法案要求零cve这会影响产品的安全性或者缓解的替代方案,语境分析成为不影响交付时间和确保软件产品安全性的唯一途径。背景分析还建议考虑到容器的具体属性和配置的具体、可操作和具有成本效益的补救步骤,并建议具有成本效益的缓解措施。第一次,开发人员不会被要求“简单地修复一切”,而是将提供准确的证明和优先级,并包含如何以最小的努力修复问题的说明。对源代码(通过IDE)和通过JFrog Advanced Security进行二进制分析应用上下文分析是最终的方法,它将带来安全的软件——只需最少的努力和回顾性修复。二进制文件是软件开发的重心,也是JFrog平台的核心竞争力;根据上下文对它们进行扫描是目前可以提供的最先进、最精简的扫描和修复路径。
2.公开的秘密
通常,密钥和凭证保存在容器和其他形式的工件中。它们可以以令牌和密钥文件的形式出现,有时在二进制文件中硬编码(这显然是一种错误做法),有时在配置文件和其他文本文件中。JFrog高级安全的秘密检测可以跟踪存在于存储在JFrog Artifactory中的任何容器中的秘密。不像其他扫描器由于错误的启发式方法而产生大量误报,我们的引擎查找900多种特定类型的密钥和凭证,因此非常准确。此外,扫描器的结果不仅会指出秘密所在的位置,还会解释问题,这可能是秘密是如何被利用的,而不一定是关于它的特定属性(如加密、编码等)。由于秘密很多时候并不存在于源代码中,因此以二进制形式扫描它们变得至关重要。通过识别这些秘密并根据系统指示进行修复,可以防止或跟踪任何内部令牌、密钥或凭证的意外泄漏。
3.不安全地使用库和服务
传统上被现有应用程序安全解决方案所忽略的最常见问题之一(并且相对容易被攻击者利用)是与以下问题相关的问题如何包正在被使用,而不仅仅是什么正在使用(这是SCA工具的常见实践)。尖端的安全引擎将扫描常见OSS库(如Django和Flask)和服务(如Apache和Nginx)的配置和使用方式,并识别错误或错误的配置,从而使软件产品暴露于攻击之下。扫描程序考虑到更广泛的容器环境,并将建议可操作的步骤,提供最快的修复路径。
4.Infrastructure-as-Code (IaC)
随着越来越多的组织及其开发人员采用IaC,基础设施被错误配置并成为链中的薄弱环节的风险增加了。因此,确保IaC得到适当的保护变得至关重要。在第一版中,IaC安全扫描程序主要关注存储在JFrog Artifactory中的Terraform配置文件,以便及早发现可能被利用的云和基础设施错误配置。为了遵守JFrog的通用性方法,将很快添加更多的IaC类型以实现全覆盖。
新的JFrog Xray功能包括:
- 增强CVE数据和严重性评估:
成为第一个了解关键cve的人,并创建额外的漏洞洞察力,使开发人员、DevOps和安全团队能够深入了解OSS和商业环境中的问题。由专门的安全研究团队的手册驱动,主动分析和增强的严重性评估。 - 增强的CVE修复数据:
使用针对关键cve的增强补救数据驱动缓解策略,使开发人员、DevOps和安全团队能够更多地了解如何智能地缓解漏洞,通常只需要更改配置。提供易于遵循,一步一步的说明。 - 恶意包检测:
发现和消除不需要的或意外的包,使用JFrog独特的数据库识别恶意包。该数据库的来源是我们的研究团队在公共存储库中识别的数千个包,以及来自全球来源的持续聚合的恶意包信息。了解更多关于我们如何自动识别这些包. - 操作风险政策:
能够轻松处理风险,如包维护问题和技术债务。 - 面向开发人员的特点:
直接集成到最流行的ide, Docker Desktop,通过CLI进行漏洞扫描,以及用于在git存储库中的拉取请求中发现漏洞的Frogbot扫描仪。 - 的安全功能:
使用现成的soms使遵从性变得轻而易举,包括行业标准导出和新的安全UI屏幕,这些屏幕聚合了所有存储库中的问题,以确保全面覆盖。
总结
JFrog x射线与新JFrog高级安全特征形成世界上第一个以devops为中心的安全解决方案旨在控制和保护从代码到容器再到产品的软件供应链。我们将先进的二进制安全分析引入DevOps工作流程,将开发人员、DevOps和安全团队联合起来,并将无与伦比的漏洞和风险检测提供到统一的DevOps和安全平台中。
我们通过提供尖端的安全解决方案和行业领先的安全研究,减轻了当今安全和开发团队的压力水平和工作量。消除误报并提供易于实现的修复,节省了他们的时间和精力,加快了软件开发过程。上下文分析的结合提供了可能威胁的整体图景,实现了持续安全的承诺。我们邀请您亲自试用一下,看看高级安全性的不同之处。
想了解JFrog高级安全?
注册到我们的JFrog x射线和高级安全演示每个月,我们将讨论最近的增强功能,深入研究它们的优点,并探索JFrog平台的演示和高级安全特性。
开始免费试用