JFrog 2021年最佳DevSecOps博客
2022年1月13日
安全一直是DevOps团队关注的问题,现在已经成为开发和发布软件的关键部分——JFrog关于DevSecOps的博客急剧增加反映了这一现实。事实上,我们在2021年产生了许多关于安全和合规性的强硬和有启发性的博客,我们决定我们的DevSecOps报道值得…
安全一直是DevOps团队关注的问题,现在已经成为开发和发布软件的关键部分——JFrog关于DevSecOps的博客急剧增加反映了这一现实。事实上,我们在2021年产生了许多关于安全和合规性的强硬和有启发性的博客,我们决定我们的DevSecOps报道值得…
高度流行的Apache Log4j库中新发现的高风险漏洞- CVE-2021-44228(也称为Log4Shell)和CVE-2021-45046 -导致了异常规模和紧迫性的安全狂热。开发人员和安全团队被迫调查Log4j漏洞对其软件的影响,这揭示了多种技术挑战……
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。最近,我们在PyPI存储库中披露了11个恶意软件包,这一发现表明攻击的方法变得越来越复杂。…
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,向存储库维护者报告易受攻击和恶意的包。今年早些时候,我们披露了几个针对开发者私人数据的恶意软件包,下载量约为3万次。今天,我们将分享11个新的恶意软件包的细节…
JFrog安全研究团队(前身为Vdoo)最近披露了TensorFlow(一种在业界广泛使用的流行机器学习平台)附带的一个实用程序中的代码注入问题。该问题已分配给CVE-2021-41228。在我们之前的博客文章中,可以阅读更多关于我们之前在Yamale的类似披露。…
内存和存储资源有限的嵌入式设备可能会利用BusyBox这样的工具,BusyBox被营销为嵌入式Linux的瑞士军刀。2022世界杯阿根廷预选赛赛程BusyBox是一个软件套件,包含许多有用的Unix实用程序,称为applet,它们被打包为单个可执行文件。在BusyBox中,您可以找到…
JFrog安全研究团队(以前是Vdoo)最近披露了Yamale中的一个代码注入问题,Yamale是一个流行的YAML模式验证器,被200多个存储库使用。该问题已分配给CVE-2021-38305。注入问题攻击者可以控制提供给Yamale的模式文件的内容(-s/ -schema命令…)
JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的漏洞,以帮助改善他们的安全状况。作为这项工作的一部分,我们最近在HAProxy中发现了一个潜在的关键漏洞,HAProxy是一个广泛使用的开源负载平衡代理服务器,特别适合于非常高流量的网站……
NicheStack是一种TCP/IP网络堆栈,通常用于世界各地数以百万计的运营技术(OT)设备,包括制造工厂、发电/输电/配电、水处理等关键基础设施。JFrog的安全研究团队(前身为Vdoo)与Forescout研究实验室一起,最近发现了14个影响NicheStack TCP/IP堆栈的新安全漏洞。这些……
软件包存储库正成为供应链攻击的热门目标。最近,有关于恶意软件攻击流行存储库(如npm、PyPI和RubyGems)的新闻。开发人员盲目地信任存储库并从这些源安装包,认为它们是安全的。有时恶意软件包被允许上传到包存储库,…
