Anwendungssicherheit
SSDLC-Programm
Um die Sicherheit der JFrog平台für unsere Kunden zu gewährleisten, hat unser Sicherheitsteam ein breitgefächertes Sicherheitsprogramm implementiert, das in den Software- entwicklungszyklus(安全软件开发生命周期/SSDLC) des Unternehmens integrert ist。
培训für sichere软件Entwicklung
Das JFrog研发团队absolviert regelmäßig相关Schulungsprogramme, die ihr Bewusstsein für problem mbereiche schärft, ihr Wissen erweitert und ihre Fähigkeiten fördert, neue, auf Sicherheit ausgerichtete Funktionen zu konzipieren und zu entwickeln。
Security-Champions方针
Die Security Champions sind dafür verantwortich, das Sicherheitsbewusstsein in den R&D Teams zu schärfen, Die Effektivität des Sicherheitsprogramms von JFrog für Anwendungen zu verbessern und gleichzeeitig Die Beziehungen zwischen den internen Teams und den für Die Sicherheit zuständigen Führungskräften zu stärken。Das安全冠军计划ermöglicht es, während der gesamten Forschungs- und Entwicklungsphase skalierte Sicherheitsmaßnahmen umzusetzen und bei JFrog eine von höchstem Sicherheitsbewusstsein geprägte Einstellung bei der Entwicklung von Anwendungen zu entwickeln。
分析《政治危机》
那么自信的设计
Das Ziel des auf sicherieren ausgerichteten Designprüfprozesses von JFrog best darin, Sicherheitsverbesserungen für die Entwicklung von JFrog- anwendungen so früh wie möglich zu identifizieren und nachteilige Designentscheidungen zu verhindern。
Bereits in den frühesten Phasen des Entwicklungsprozesses für JFrog- software wenden die technischen Teams von JFrog sichere Designprinzipien wie“最小特权”和“故障安全”安。
贝德荣模型
关于青蛙的数学模型。Es ist eine technische Methode, die Es ermöglicht, Bedrohungen, Angriffe, Schwachstellen und Gegenmaßnahmen zu identifizieren, die unsere Anwendungen betreffen könnten。Wir nutzen die Modellierung von Bedrohungen dazu, das Design unserer Anwendungen zu entwickeln, unserere Sicherheitsziele zu erfüllen, Sicherheitsanforderungen zu definieren and Risiken zu reduzieren。
Sicherheitstests
Statische Sicherheitstests für Anwendungen(静态应用安全测试/SAST) bzw。statische Analysen sind eine Testmethode, bei der Quellcode analysiert wid, um Sicherheitslücken zu ermitteln, die Anwendungen für Angriffe anfällig machen。SAST-Tools扫描eine Anwendung, bevor der代码kompiliert wd。
SAST-Tools geben Entwicklern beim Programmieren反馈在Echtzeit和helfen ihnen,问题zu beheben, bevor sie den代码在die nächste Phase des Software-Entwicklungszyklus weiterleiten。达达尔奇鸟verhindert, dass sicherheitsrelevante问题erst nachträglich erkannt werden。
DAST-Lösungen(动态应用安全测试)werten die Eingaben und Ausgaben von Anwendungen aus und überprüfen大贝ausschließlich die Angriffsoberfläche。DAST-Lösungen testen laufende Binärdateien,嗯Schwachstellen zu ermitteln, die beispielsweise in dynamisch generiertem Code vorhanden sind und mit SAST-Tools nicht gefunden werden。
JFrog hat SAST- und DAST-Tools in den Entwicklungszyklus integriert und führt SAST- und DAST-Scans jedes Mal durch, wenn Code eingecheckt und wenn Code freigegeben wd。
JFrog x射线-软件组合分析(SCA)
JFrog x射线ist eine universal SCA-Lösung, die nativ in Artifactory integrert wid, um Entwicklern und DevSecOps-Teams eine einfache Möglichkeit zum Scannen von Binärdateien zu bieten。JFrog x射线识别proaktiv Schwachstellen im Quellcode und Lizenzverstöße, bevor sie in producduksversionen übernommen werden, und leistet damit einen einzigartigen Beitrag zur Sicherheit der Anwendung。
JFrog x射线扫描kontinuierlich die JFrog平台,um alle Pakete zu sichern, die auf binärer Ebene gespeichert sind。Die Automatisierung der sicherheits工作流程在unserer CICD-Pipeline erlaubt Die frühzeitige Kontrolle der Software- releasezyklen und verstärkt das Vertrauen in Die Software。
JFrog x射线lässt sich nativ in Artifactory integrieren, sodass in primärer Hub für sichere Softwarepakete verfügbar ist, die von Entwicklern heruntergeladene Open-Source-Binärdateien enthalten。
Wir sind vom Wert des“Shift Left”- ansatzes überzeugt, bei dem die Ermittlung von Sicherheits- und合规-问题和geeigneten Abhilfemaßnahmen frühzeitig begin - nicht erst dann, wenn der Code producktionsbereit ist und während des gesamten Software-Lebenszyklus fortgesetzt wd。
mithilife von JFrog x射线führt das JFrog- sicherheitsteam eine kontinuierliche, mehrschichtige分析非serer容器和软件工艺fakte durch, um schachstellen和问题mit Einhaltung von Lizenzen in jedem Abschnitt unserer internen CICD-Pipeline zu erkennen。
Wenn Builds aufgrund der internen Richtlinien von JFrog fehlschlagen, weil bestimmte Sicherheitslücken erkannt werden, beheben unsere technischen Teams die Sicherheitsanfälligkeiten gemäß den Vorgaben unserer internen SLA, die an Branchenstandards ausgerichtet ist。
Lesen Sie mehr über das冒犯与错误von Sicherheitsproblemen,死在jfrog - produckten gefunden wurden。
Penetrationstests
Zum Abschluss unseres entwicklunszyklus werden unsere Produkte und Funktionen kontinuierlich sowohl intern durch das für die anwendungsicherheit zuständige JFrog-Team als auch extern von sachkundigen externen Expertenteams einer Reihe von Penetrationstests unterzogen。
Bug-Bounty-Programm
Das JFrog-Sicherheitsteam verwaltet private program zur Offenlegung von Bugs and schachstellen, die auf HackerOne gehostet werden und einen ichtigen asppekt unserer Bemühungen um die Sicherheit unserer Produkte darstellen。
Klicken您在这里,嗯weitere Informationen zum Melden von Sicherheitsproblemen an JFrog zu erhalten。
Anderungsmanagement
Das Sicherheitsteam von JFrog verfolgt und überprüft alle Änderungen an unseren Produkten, um zu gewährleisten, dass sie unsere Qualitätsanforderungen erfüllen und auf unsere Geschäftsziele ausgerichtet sind。Das Sicherheitsteam von JFrog führt selektiv sicherheitsrelevante Codeüberprüfungen für Änderungen durch, um die Einhaltung unserer internen Sicherheits- und conformity - anforderungen zu gewährleisten。
Web-App- und API-Schutz
我是拉赫曼,不知道我是谁Ökosystem我是谁,我是谁。JFrog nutzt Anti-DDoS-Schutz, eine Web应用防火墙(WAF) der nächsten Generation, ein API-Schutztool, erweiterte Geschwindigkeitsbegrenzung和Bot-Schutz。
