当允许公共访问私有注册表时,防止无意的软件供应链暴露
2023年2月9日
在JFrog,我们非常重视软件供应链的安全。作为CVE编号机构,我们的JFrog安全研究团队定期发现并披露对开发组织构成威胁的新恶意包和漏洞。我们知道,为了按需交付值得信赖的软件,你必须有一个安全的软件供应链——制造……
在JFrog,我们非常重视软件供应链的安全。作为CVE编号机构,我们的JFrog安全研究团队定期发现并披露对开发组织构成威胁的新恶意包和漏洞。我们知道,为了按需交付值得信赖的软件,你必须有一个安全的软件供应链——制造……
哇!这是恶意软件包系列的最后一篇文章。虽然离别是如此甜蜜的悲伤,但我们希望博客1、2和3能够深入了解恶意软件包在您的DevOps和DevSecOps管道中造成的破坏。在之前的文章中:我们解释了什么是软件供应链攻击,并了解了…
假设您在2000年代中期询问开发人员他们是如何管理和编译二进制文件的。您可能会听到一些令人焦虑的答案(例如,将包存储在git存储库或不安全的文件存储库中)。值得庆幸的是,组织目前有各种选择来管理他们的第一个或第三方包、依赖项和容器。不同的工具提供不同级别的包支持……
阅读我们在InfoWorld上的完整研究报告JFrog安全研究团队发布了最近的一项调查结果,其中他们发现了数千个公开暴露的活跃API令牌。该团队在测试公司JFrog高级安全解决方案(JFrog Xray的一部分)中的新秘密检测功能时完成了这一任务。团队扫描了……
高度流行的Apache Log4j库中新发现的高风险漏洞- CVE-2021-44228(也称为Log4Shell)和CVE-2021-45046 -导致了异常规模和紧迫性的安全狂热。开发人员和安全团队被迫调查Log4j漏洞对其软件的影响,这揭示了多种技术挑战……
周四,2021年12月9日,阿里云安全团队的一名研究人员在Twitter上发布了一个零日远程代码执行漏洞,目标是非常流行的Java log4j日志框架(特别是2。x分支(称为Log4j2)。该漏洞最初是由阿里云安全团队于11月24日发现并报告给Apache的。…
最近发布的JFrog Xray版本3.31和3.32带来了大量的新功能,旨在改善和简化您的工作流程,生产力和用户体验。下面详细介绍的新功能巩固了Xray作为JFrog Artifactory的最佳通用软件组合分析(SCA)解决方案的地位,该解决方案受到开发人员和DevSecOps的信任…
SolarWinds的黑客攻击已经影响了备受瞩目的财富500强公司和大型美国联邦政府机构,它使软件开发安全成为人们关注的焦点——这是DevOps社区和JFrog的一个关键问题。在基本层面上,如果通过CI/CD管道发布的代码是不安全的,那么所有其他DevOps的好处都是徒劳的。…
在之前的一篇博客文章中,我们解释了如何通过Azure市场安装或更新Artifactory,在你的咖啡订单到达柜台所需的时间内。现在,您可以通过Azure添加自管理(BYOL)人工部署Xray,软件组合分析(SCA)工具的精华……
通过跟踪Artifactory和Xray的使用数据,可以最好地保证您的JFrog平台的忠实运行。通过实时可观察性和日志分析获得的洞察力,您可以提高DevOps管道的效率,并保持软件版本的愉快运行。Datadog是一个基于saas的数据分析平台,是一个广泛使用的…
