阻止安全漏洞进入您的代码

注:本博客最后更新日期为2021年11月7日

随着持续的软件部署的增长并成为公认的标准，安全措施变得更加重要。从开发一直到生产，组织中的所有团队都应该采用安全需求。

JFrogIDE集成从IDE内部为开发人员提供安全性和遵从性情报。插件/扩展允许用户扫描他们的项目依赖项并查看安全漏洞以及开发期间的许可遵从性问题。

支持什么?

目前JFrog支持四种IDE集成，它们都使用相同的功能。

• Visual Studio代码-扫描您的Maven, Python, Go和npm项目依赖项
• IntelliJ IDEA-扫描Maven, Gradle, Go, Pypi和npm项目依赖项
  • 也支持- WebStorm, PyCharm, Android Studio, GoLand
• Eclipse-扫描你的Maven, Gradle和npm项目依赖项
• Visual Studio-扫描你的NuGet项目依赖

插件/扩展包含了什么?

安装完成后，您将在屏幕上看到一个JFrog选项卡。JFrog面板包含一个依赖树视图，带有项目的直接依赖在最高层过渡依赖你可以在树的更深处看到。例如，在Visual Studio Code中:

JFrog x光当项目中的依赖项发生更改时，自动执行扫描。单击依赖项将显示其详细信息，包括检测到的问题类型、严重级别、版本、许可证和问题摘要。例如，在IntelliJ IDEA中:

也可以使用颜色根据严重程度过滤扫描结果，例如高严重程度显示为红色。此外，如果一个可传递依赖项在树的底部有一个漏洞或违规，那么它的所有父依赖项也将被标记为脆弱。此视图允许精确定位导致漏洞的传递依赖项。

您可以从树中的依赖项跳转到编辑器中的依赖项定义。

有很多其他有用的功能，包括在树中搜索依赖项、将鼠标悬停在编辑器中的依赖项上以快速显示有关它的信息，以及直接从pom.xml包中查看许可证。Json, requirements.txt或者go.mod。

带着安全向左移动

更快地交付高度安全的软件，需要所有团队的努力，作为您的团队的一部分DevOps工作流．将离开作为DevSecOps策略与更多的工具，使开发人员能够阻止任何潜在的威胁，如安全漏洞和许可证违规，从一开始。这使得开发团队能够在问题给组织带来任何潜在风险之前轻松地缓解问题，从长远来看可以节省时间和金钱。

如果你还没有开始使用JFrog x射线，请访问JFrog网站开始免费试用．

阅读有关Log4shell