帝国如何衰落:鲁莽、无防备和特洛伊木马、JFrog、基于风险的安全

谁租用了开放许可证，并在每次发布时随软件一起分发?你说你知道这很重要。有什么事吗?好吧，你来对地方了。太棒了。好。好吧。假设有一天，有人向你要这份你没有的租约。你知道怎么开始行动吗?谁知道如何在他们的产品中收集开源许可证? Okay. Okay, you just don’t do it because, who cares? This is how empires fail. I have to remind you.

好吧，谁会在他们的组织中继续管理开源许可证呢?JFrog的人，这让我和我们的律师很高兴，但显然没有其他人。你来对地方了。我不知道你和你的律师有多频繁的谈话，根据你的回答，不是很频繁。我们现在要和我们的律师谈谈。所以，让我向你们介绍[听不清00:03:19]Eyal Ben David, JFrog的总法律顾问。他是个真正的律师，而且

嘿,每一个人。

好的，额外的问题。有多少人看到律师在组织软件会议?

穿着t恤。

穿着t恤。手下来。没人见过穿t恤的律师。因此，Eyal，感谢您加入我们，并感谢您有机会为我们软件工程师提供律师的观点，并告诉我们，当涉及到swampUP或任何技术会议中的开源治理时，您关心什么。

很高兴这么做大家好但是我以为我们要从一个律师笑话开始你跳过了。

是啊，你在哪里找到的[相声00:04:06]-

律师的笑话在哪里?

我在哪里找到我的律师?很明显,

好-

很明显,

我很高兴我们发现了

在海底。(听不清00:04:15)

肯定的。好了，大家好。我叫埃亚尔。我是JFrog的GC。我保证现在是周二5点

GC代表垃圾收集器。

好了。就是这个。你刚才说出来的。好了。我知道现在是周二下午5点，我保证不会深入讨论任何法律概念，但我们将讨论一下软件许可，特别是开源软件。

是的,当然。

关于我的世界，关于法律与科技，与商业的交集，以及当帝国没落时，这些交集是如何与此相关的。为了跟进巴鲁克的问题，你们中有多少人所在的公司或公司有政策规定在创建专有软件时可以使用哪些开源软件，哪些不能使用?

所以，我们知道你不更新它。你们中有多少人知道它的存在?

好了。好吧，大概一半。我的问题是，你们中有多少人在过去一个月里开通了这项政策?好了。好吧。所以，让我们来看看我的世界，我们在思考什么是有趣的，我们可以给出90个不同的例子来说明它在哪里相关以及为什么相关，但我们想谈谈并购。并购交易是我们喜欢读的东西

大家知道并购是什么吗?

不好意思，是合并和收购。我想他们都是。是的。我看到大家都在点头。好吧。当我们，在JFrog通常当公司寻找并购的目标时为了收购或合并，我们首先要看的一件事，就是开源组件的列表，巴鲁克之前提到的东西，我们不确定每个人都有。我们主要关注的是知识产权所有权。我们要确定的主要问题是，这家公司是我们想要收购的吗?这是我们想要的软件吗?他们拥有它吗? Now, the question of owners isn’t always a yes or no question. We want to see if there’s any third parties that may have any claims on that IP, if anyone’s going to come back and ask for royalties, if anyone’s going to have any questions regarding that ownership if we buy it later, and are we going to be able to make money off that software, moving forward, or do with it as we wish?

有什么问题吗?好的，我有一个[听不清00:06:20]明星顶，强大的JFrog想收购我的公司。哪里会出错呢?

巴鲁克，我们来举几个例子。让我们来谈谈一些例子，当我们的IP所有权不相关时，这可以发挥作用。让我们想想过去几周我们从媒体上看到的一些例子。

是的，你知道[听不清00:06:36]，我认为实际上。在JFrog，我们有过这样的经历，当一些交易在IP所有权上实际上失败了。

我们做了，我们研究了这些年来不同的交易。我们考察了不同的公司，这不是一件你会对交易说“是”或“否”的事情，而是你要考察的一些实质性的东西。我们会查看IP所有权，看看是否有版权许可，以及所有权

什么是copyleft许可?

啊。什么是copyleft许可?我们问问周围的人吧。大家都熟悉copyleft许可这个术语吗?实际上，简而言之，copyleft许可证是一种类似于GPL的许可证。它可能是一个互惠许可，这意味着如果我们在专有代码中使用它，我们可能不得不将该代码分享给世界。虽然，我们可能会分享回来

我们称之为病毒式授权。

病毒式许可。完全正确。

所以，如果我们使用GPL，我们本质上就是GPL，不管我们想怎么看待自己。

在某些情况下，我们来讨论一下。让我们来谈谈LGPL。

哦,LGPL。LGPL。谁听说过LGPL?谁知道GPL和LGPL的区别?完美的。没人知道。是的，我知道。L-是什么

埃文知道其中的区别。好了。

LGPL是一种许可证，它应该使GPL不那么病毒式传播，就像很多年前一样，他们对像c++这样的语言区分了静态绑定和动态绑定，他们说如果你静态绑定，如果你用你的源代码编译我们的源代码，你的代码就不是开源的。这是病毒的部分。但是，较小的L会说，“但是如果您只在运行时动态地执行绑定，那么，这不是什么大问题。这样，你就不必为我们开放源代码了。”

那么，Baruch，我可以在我的专有软件上使用LGPL吗?

这是一个很好的问题，因为这是令人兴奋的技术如何改变法律文件的意义。LGPL是用对某种技术有意义的条款写的[听不清00:08:42]。后来出现了Java。在Java中，我们有静态绑定吗?一切都是动态绑定的，当然，LGPL是一个完全安全的许可证。没有静态绑定。没有病毒。让我们都使用LGPL。但是，然后[听不清00:09:02]来了。[听不清00:09:04][听不清00:09:04]是如何工作的? It’s all static. We’re always compiled together. So, suddenly the same LGPL who looked absolutely safe for us Java people, now, is absolutely open source viral. It’s like it’s changed it’s meaning 190% because we use a different programming language. That’s super cool and, obviously, super scary.

我们要建议的一件事是，我们讨论过的政策不是我们可以写下来，扔进抽屉里，再也不看的东西。它必须是动态的，必须随着技术的发展而发展，我们应该适当地重新审视、研究和教授它。

所以你应该多见见你的律师。

你应该多见见你的律师。好了。让我们来谈谈其他的例子，巴鲁克。再问大家一个问题。如果GitHub上有一个没有许可证的项目或库，这可能是一个简单的问题。在过去的几天里，我问了大约20个人，得到了各种各样的答案。我可以把这个库用在我的专有软件中吗?谁说是的。

从技术上讲，你可以。

技术上可以。真实的。

你可以吗?

你可以吗?好。很明显，如果我们在没有授权的情况下使用这些内容，我们就是在使用别人的版权作品，那么我们就会遇到我们之前讨论过的IP所有权问题。

人们也经常这样做。人们总是这么做。

是的。

真正的问题是[听不清00:10:31]想想你自己你在GitHub上找到了一个库。你能检查一下驾照吗?谁来检查驾照?没人会检查驾照，所以，请别再做了

我们看到了一些。我们看到了一些，它们大多是JFrog的。

对，对，对。那是我们JFrog的老员工。你把他们训练得很好。你知道一个荒谬的例子。有人把[听不清00:10:56]背景代码放在他们的领英标题上。你知道，在领英中，你有你的标题，就像一张白色的图片。有人拿了一些代码，放在那里只是为了说明。接下来，它就出现在别人的产品里了。

如果你们看了今天的报纸，就会发现这是其中一条。

所以不要再把代码当作，它属于谁并不重要，因为它很重要。

我们来谈谈另一个有趣的例子，你几年前写的一篇日志，或者更少一些，几年前，一个叫Lerna的公司，一个叫Lerna的产品

是的，这是一个[听不清00:11:30]项目，大概是一年前的。是的。谁听说了勒纳事件?哦，你没有。

埃文,再一次。他的头号学生。

你是来这里请客的。这是我听过的关于许可证的最好的故事之一。

同意了。

去做吧。

同意了,同意了。Learna，一个开源项目，几年前在麻省理工学院下发布，出于一些政治原因，我们绝对不想卷入其中，不管他们是对还是错。发布了一个带有MIT许可证的版本，用一个量身定制的MIT许可证，点名要求某些企业，在某些公司，他们不被允许在他们的软件中使用那个许可证或那个库。现在，如果你能这样做，如果你不能这样做，这是合法的还是非法的，它是否适用，这是以后的问题，我们很乐意讨论。

今天，我们想说的是，作为一家公司，我们想知道这个许可证已经改变了。我们至少想要像巴鲁克所说的那样进行对话。你想去找你的律师谈谈，做出一个教育决定，决定你是否想继续在你的软件中使用那个库。这可能会伤害你，也可能不会。

现在有[听不清00:12:33]。他们不仅更改了许可证。他们尽了最大的努力，用了最偷偷摸摸的方法。你们中有多少人熟悉语义版本控制?哦，大多数人。您知道语义版本控制是如何工作的，因此主要版本会中断。对吧?你期望一个许可变更会禁止某些公司使用你的库，这将是一个主要版本，因为我们希望，如果我们现在使用某个版本，版本X，在我们更新到Y之前，这是一个有意识的决定。我们看到了变化。我们查看发行说明。 One of the items in the release notes is license change. You cannot use it anymore, and we were like, “Fine, we will stay on Version X or we will use it as a [inaudible 00:13:25] tool, maybe for, whatever.”

那么补丁版本呢?大多数[听不清00:13:34]管理人员会不问你就下载补丁版本。它将被自动更新。如果他们设法在补丁版本中更改许可证，所有那些被称为不允许使用该软件的公司将违反许可证，而公司的任何人都不知道发生了什么。今天，当我想到它的时候，我起了鸡皮疙瘩，因为这就是你如何把一个大公司，从M开始，以微软结束。这就是你要做的。这是邪恶的天才，但是，仔细想想。你随时都可能在这里。

巴鲁克，这个例子很好，有两个MIT许可证。如果他们从MIT转到GPL会发生什么?然后，它可能会更加有害。说得对，说得对。我认为我们要做的是，我认为重点是我们有两个关键的，我们想要给出的核心建议，或者我们需要遵循的两个关键实践。首先，我们需要一个政策。我们需要一个我们每天都学习、研究、实践、访问的政策，希望如此。第二个是使用这个策略，让我们的用户知道我们的软件中有哪些开源组件和库。

但它应该是连续的。许可证管理应持续作为您的持续集成、持续交付、持续安全。持续的许可证政府是其中的一部分。顾客，或利益相关者，决定了政府的[听不清00:15:20]，就在这里。我是你的律师。这是你的建议，你会问，“好吧，埃亚尔，告诉我我可以用什么，不可以用什么，我会把它放进我的管道里，确保我们没有违反你告诉我们的规则，哪些是对的，哪些是错的。”这些规则在不同的公司之间完全是动态的。有一天，我可能会在早上醒来说，“你知道吗?我们永远不会使用竞争对手的任何许可证，因为他们可能会把我们搞砸。”对不起，我不是故意的。

我不确定我会这么说。是的。

是的，那是…不。那我们就不用这些了。我们需要在同一天开始工作，实施这些规定，并确保这种情况永远不会再次发生。那么，我们来做一个[00:16:15]-

我们开始吧。

告诉我我需要什么，我会照做的

我们开始吧。

好吧。这是我的。好吧，有一个工具，你们现在还没看到，但你们马上就会看到，它叫做。有人知道吗?[布莱恩00:16:31]知道但他没参加排练所以不算数JFrog x光。惊讶吗?

喔!已坏。

是的。因此，您可能听说过JFrog Xray是一种安全性分析工具，我们稍后将讨论Xray的这一方面，但它也具有与连续许可证管理相同的连续安全性原则。您可以设置一个策略，通常，或者默认情况下，您可以考虑一个安全策略，但也可以设置一个许可策略。因此，我认为，许可证遵从性是许可证遵从性政策的好名字。它的工作方式是，我想让它成为一种许可，我想找到Eyal会为我定义的规则，他会说，“黑名单”或许可黑名单之类的。这是我的原则。这就是我们想说的，我们想要[听不清00:17:44]许可。再一次，Eyal给了我一个列表，其中一个列表是，让我们说，“不要用C…”名字是什么?CPAL。叫什么名字? Forget the licensing [inaudible 00:18:02]. Great.

CBDF吗?

不，是C什么的。我的天啊。很抱歉。我晕了一会儿。我知道在哪里检查，在[听不清00:18:14]或在x光检查。我没有做x光检查。所以,抛弃。我一会儿再做一次，还有J单位。这是J Unit所拥有的许可，而J Unit……我显然不想在生产中使用J Unit。其中之一就是不要使用简单的方法。 Here you go. I want to ban this license because I don’t want to use in production, licenses from tests.

所以我要创建一个新策略。现在你记得很清楚，因为我做了两次，那将是许可证，我们将定义一个规则，那将是乐队许可证，我们将做禁止许可证，那将是CPOL。来吧，警察。哦，还有，我不想要任何未知的许可证，因为我不知道它们是好是坏。我宁愿呆在外面直到我得到许可。[听不清00:19:24]这很好。我什么都没做。现在，我可以设置，不是丢弃，是保存。啊,对不起。漫长的一天。 Now, I can define watch, and I can say, “I want to watch… Name for a watch. What’s a good name for a watch? Nightwatch. Well, not so good. We don’t have Nightwatch anymore, so let’s do license watch, because night watch is not a thing any more. What we want to is we want to watch all the builds that go through the [inaudible 00:20:08] continuous license compliance. Every build, I want watch, and now, Old Bills, and now I want to attach the policy, which will be my band licenses policy. The internet is a little bit slow, but not horribly slow. License compliance. That’s my thing.

好吧。现在，我完成了，让我们试着构建一些有J Unit作为依赖的东西。这是我的Jenkins，它有它的构建，我想说，“我想要x射线扫描，我想要我的构建失败。现在，在22秒内，我们将看到构建是如何失败的。是我开的，这就是博客，所以很明显，它会建立起来。现在，下载一些东西，下载互联网，显然是从[听不清00:21:20]工厂。繁荣。它失败了。它失败了。是的，这是一个很好的失败演示。 [Shlomi 00:21:26], thank you. It actually failed because I didn’t configure something right, but, in a really failing demo, that will fail on security [inaudible 00:21:38]. That’s a meta failing demo. I managed to fail a demo that was supposed to fail.

应该会失败。

是的，不，但是我道歉。这是漫长的一天。我不会再重复一遍了，但我想你们已经明白了我们是怎么做的，它应该能起作用。就是这样，这就是你如何将你的许可证遵从性融入到你的持续[听不清00:22:03]中。说到这里，我们来谈点别的。这是遵从性的部分，很明显，你们没有考虑到，所以你们现在要开始考虑了。

另一方面，持续的安全，是不断被破坏的。你们坐在[听不清00:22:24]的深处，这意味着你们是有安全意识的人。你知道安全是很重要的。对吧?好吧。谁在使用Docker?每个人都使用Docker。太好了。谁用安全工具扫描Docker ?好吧。 This is disturbing. I would still expect everybody to do that but, apparently, you are in the right place. When you pick a security tool, everybody have this checkbox, we do security image [inaudible 00:23:02]. What does it mean, and whether it will find a vulnerability inside proprietary application binary, on any of the layer deep of your Docker image, this is something that you won’t find on those shiny bootlegs that you get in conference for your next security [inaudible 00:23:30] scanning tool. To tell you a little bit about why it is important, I want to invite the person who was there during the arm work to support 24 different package types in [inaudible 00:23:46] factory, and he was there through the entire… all of the 24. Yossi Shaul, Senior Architect at the CTD Office at JFrog.

谢谢你！谢谢你，巴鲁克。在我们开始之前，让我解释一下扫描Docker映像是什么意思?深色图像通常建立在某种Lenox发行版上，这些发行版通常与几个组件捆绑在一起，有时是很多不同的组件。当我们谈论扫描Docker镜像时，基本上可以归结为打开Docker镜像中的各个层，获取安装的操作系统级组件列表，如LPM文件，WM文件，并将其与漏洞数据库进行比较。这就是它的意思，正如巴鲁克之前提到的，很多公司都知道该怎么做。我们也知道怎么做。这是一件重要的事情吗?你觉得呢?它是。

它会赶上下一班[听不清00:24:59]。对吧?

是的。

[听不清00:25:02]如果你还记得的话，那就是它想要的。它是Docker映像中的系统级二进制文件。

是的。这是很重要的一步。每个使用Docker镜像的人都应该这样做。难怪在过去的几年里，所有围绕扫描Docker图像的公司都出现了，每个人都试图提供这种服务。

我有个问题要问你，约西。你实际做的是，你在Docker中检查操作系统，取出安装在那里的每个二进制文件，以某种方式检查一些ID，进入外部数据库，比较它是否在那里，并报告它是否安全。

正确的。

好吧。我有自己的应用程序，我将其添加到我的Docker映像中。显然，我自己的应用程序的检查不会出现在任何公共数据库中，至少，我希望如此，因为没有人知道它。这是我的申请表。它对我有独特的作用，世界上没有其他人知道它。那么这个工具会有什么帮助呢?

它不会。在这种情况下没有帮助。例如，你提到平板电脑，它是如何在开放[听不清00:26:22]中的一个漏洞。所以一个图书馆，它被安装在几乎每一个莱诺克斯展览，扫描Docker的图像会发现它。

完全正确。

但是，让我们以另一个著名或臭名昭著的数据泄露为例，Equifax。有人听说过吗?非常有名，但不是独一无二的。它很有名，因为它是一个几乎所有人都知道的大公司，它的发生是一种耻辱，但是这个人

是的,是的。你在以色列，但我们受到了打击。

这种类型的漏洞是封装在特定包装中的专有应用程序中的漏洞。在这种情况下，它可能是一份工作申请。可能是原始文件。简单扫描Docker映像不会发现此漏洞。为了发现第三方组件的漏洞，无论是在Java世界还是牛轧糖或[听不清00:27:26]，还是NPM，你拥有的许多其他技术，你需要做一些其他的事情。这是我们在x射线中做的事情。这是对我们在Docker镜像或任何其他技术中可以找到的所有组件的深入分析和深入扫描。我们基本上要做的是，取Docker映像。我们像其他人一样扫描基本的[听不清00:27:52]级别的漏洞。我们有自己庞大的数据库。 We compare and then we move on to the next stage.

下一阶段是扫描文件系统上的所有内容，并试图找出它是否是我们识别的组件，如果是，我们将其与我们自己的数据库进行匹配，我们还会做另一件事。我们还会进行深度扫描。在很多情况下，我说，我提到它是一个专有的应用程序。我们支持多种语言。这意味着它可能是ZIP。它可能是[听不清00:28:28]。它可能只是Docker镜像中的一个目录。所以我们需要扫描所有这些文件，如果我们找到一个档案，我们知道如何打开它，并对这些档案进行深度扫描。对于每个文件，我们计算签名，并尝试将其与已知的漏洞数据库进行比较。这种扫描可以用来发现第三方组件中的漏洞，而且是很多漏洞。

显然，我们有责任支持现有的尽可能多的技术，因为这将是有用工具和不那么有用的工具之间的区别。看看有多少人用Java?好吧，你们一半的人?有多少人使用JavaScript?开始吧。所以我们至少需要支持其中的两个。Go怎么样?有云裸的人吗?酷。所以，我们需要支持Go。 How about nougat.net? There we go. We need to support that, as well. So, you got the gist.

如果我们不支持这些，你的下一个[听不清00:29:47]工具将会用我们支持的语言制作你的Equifax，我们背叛了你的信任，你的帝国失败了。让我给你们展示一下深度扫描是如何工作的。你哪儿也不能去。

嗯哼(肯定)。确定。

再回到我们的x光，我想尝试构建，因为这显然不是我的强项。相反，我们会看一个现有的构建，我在一个安静的环境中运行，在演讲之前，它实际上做了它必须做的事情，它失败了，因为它应该失败，那是Docker应用程序。现在，Docker应用程序是一个Docker映像，它在一个WAR文件中，这是一个完全专有的原始文件。这个[听不清00:30:34]不存在于任何数据库中，但是在WAR文件中，每个漏洞都有一个[听不清00:30:41]文件夹。我们看到这个应用程序肯定有问题，当我们深入研究它时，我们可以看到我们有134个漏洞，这些漏洞可能不会很快投入生产，看看吧。我点击了吗?我了吗?我了吗?好了。现在，它会打开我所有的点击，很明显，这是我们不支持的分辨率。开始吧。 Look what’s going on here. We have… It’s just a bad technology day for me.

好的，我们这里有一个关于脆弱的策略。这也是约西说过的策略，我们之前排练过，他知道我会展示给大家。它在沼泽里[听不清00:31:42]。SwampUp就在[听不清00:31:44]附近。它不在任何数据库中，在Docker层中，现在它完全消失了，在Docker映像中。这是swampUP[听不清00:31:54]这个swampUP[听不清00:31:56]有76个漏洞。其余的实际上在Docker层，它们也被x射线发现了，你可以看到，在这里，strats工具的漏洞在strats文件中。这就是。它就在沼泽里。

这种扫描可以…这是四层的深度。它可以是任何深度，使用任何技术组合。如果我们想把这个WAR文件包装在一个[听不清00:32:27]包中，然后安装它，比如，一次安装在Docker映像中，一次安装在金属棒上，那也可以。我们只需要在靶心再多走一步就能走得更深。对吧?

嗯哼(肯定)。

但我有个问题要问你。Equifax，他们不是恶意的。他们不是故意的。可能当他们开始使用strats工具时，他们甚至不知道最终用来攻击他们的漏洞。他们甚至可能检查构建中已知的漏洞，但是他们在生产环境中拥有的东西却丢失了，从管道中消失了。它已经在生产中了。我们如何解决这个问题?

好吧。说得好，而且确实如此。即使他们使用扫描工具，你扫描一些东西，在你扫描它的那一刻，它可能没有任何已知的漏洞，这种情况经常发生。

当然可以。

请求或要求从头开始重新扫描所有内容是不现实的。为什么不呢?因为我们谈论的是tb级，甚至pb级的数据，每次发现新的漏洞就扫描它是不现实的。所以，我们所做的，以及我们在x射线中得到的，是我们称之为冲击分析的东西。影响分析基本上是在任何时候回答一个简单问题的能力。如果一个特定的漏洞有一个特定的组件，有一个漏洞或更改许可证，该怎么办?你可以得到答案。您在组织中的哪些文件，哪些应用程序，哪些Docker映像将受到此组件漏洞的影响?我们怎么做呢?基本上，我们所做的是。我提到过x射线知道如何扫描，它会进行[听不清00:34:36]扫描，在扫描的同时，它会建立一个图表。 It’s a graph of all the components where the parent and the children where the children might be. Another application that has another application inside, down to the list of components. Okay, we take this graph and we save it in the database.

我们如何使用它?稍后，当一个新的漏洞被发现时，据报道，可能来自[听不清00:35:06]，[范00:35:07]我们将在一分钟内讨论。这个漏洞最终会到达Xray数据库在你把它放入Xray数据库后不久，Xray所做的就是获取漏洞，检查哪些签名可能会受到这个漏洞的影响?现在，在组件图中获取所有这些签名并进行检查。我们的组织里有这样的签名吗?如果答案为真，它将计算返回到根文件的所有路径。同样，根文件可能是应用程序。它们可能是Docker图像。它将创建一个报告并将其发送给您，其中包含触发漏洞的所有信息的列表。您实际使用了哪些受影响的组件来处理该漏洞? If there’s a mitigation, also, recommendations about those mitigations.

这里有一个影响分析的例子。假设你现在也学习了策略。你周一来上班，你问，“这个策略[听不清00:36:16]很糟糕。我拿到了吗?”你搜索它，你会发现脆弱的结构[听不清00:36:24]，你会说，“哦，我的天哪。它在很多文件中，但也许他们只是躺在那里，没有部署在任何地方。好吧，让我看看。我只是选了一个。它们是WAR文件的一部分，是web应用程序的一部分，它们是Docker层的一部分，也是构建的一部分。但也许这只是一个[听不清00:36:49]Docker层。 Maybe no one actually uses it. Let’s see if someone uses it. Yeah, okay. It was part of a Docker image, which was [inaudible 00:37:03], but also 62. You know what? Maybe this Docker image didn’t go anywhere.

所以我们可以去看看这个组件，看看它是否真的被使用过，因为x射线位于[听不清00:37:21]因素之上，这是你一直到生产的管道，所以你确切地知道Docker图像在哪个时间点。在这里，你可以说，“好吧，这个Docker映像在一堆存储库中，其中一个是生产，这就是你要去的地方，”休斯顿，我们有问题，“这就是你的[听不清00:37:50]。Yossi，非常感谢你。

谢谢你，巴鲁克。

现在，当你知道遵守许可会如何瓦解你的帝国，如果你的过程中没有足够的安全保障会如何瓦解你的帝国，让我们来谈谈。这几乎是质量高于数量。一堆问题。谁认为MVD是一个好的、可靠的、基本上足够的漏洞数据库?谁知道NVD是什么

NVD是什么?

完全正确。谁知道MVD是什么?好的，国家漏洞数据库。这是一个管理和运行的数据库，其中包含漏洞，对于像我这样的人来说，听起来政府数据库应该是好的。哪里会出错呢?对了，Equifax ?CVE，这是定义漏洞的黄金标准。当你说到“哦，漏洞”时，CVE的数值是多少?如果它没有CVE，它就不存在。数据库的唯一真理点是CVE。 Then, that’s a stupid question. Who thinks the bigger database of vulnerability you have, the better? Yes. That’s the right answer. Yes, the bigger event, the better.

为了稍微谈一谈数据库的质量，以及数据库的数量，我想邀请一个你们在今天上午的主题演讲中已经见过的人，Brian Martin，脆弱性情报副总裁，基于风险的安全。

谢谢你，巴鲁克。

我不知道还有谁比你更适合谈论数据库的漏洞，数据库的数量这个人为了好玩，干了多少年?

自93年。是的，几年了。

我们都有爱好。这家伙收集漏洞。

很长一段时间，我把它当作爱好，然后是工作，然后是爱好，一直以来，现在，它是，两者兼而有之。是的。

为什么NPV不够?为什么CVE不应该成为黄金标准，为什么有时候质量并不比数量重要，数量本身就很重要?

有句老话:“我们是政府的。我们是来帮你的"这就像是"好吧，谢谢，但不行"很快，在整个生态系统中，CVE和NVD本质上是相同的。有百分之百的重叠。你不会在其中一个身上发现另一个身上没有的弱点。唯一真正发生的是运行CVE端的MITRE将执行分配。然后，他们把数据踢给NVD。然后，NVD将对此进行分析。我的意思是，他们将生成CPE，公共平台枚举，其目的是使您可以自动处理这些漏洞，并将其工作到您的系统中，并分配CVSS分数，公共漏洞……等等。

得分。

分数,是的。我不应该笑。我们实际上给CVSS SIG和所有东西很多输入，他们在版本二和版本三做一个分数。它们听起来是一样的，但实际上，对于同样的弱点，这些分数可能非常非常不同。NV2，结果可能是4.3。NV3，同样的漏洞，可能是7.8级或更多。所以在这方面也有很多困惑。现在你已经了解了整个生态系统，最大的缺陷，我之前提到过一些，就是CVE没有采取主动的方法。他们希望你们所有人都去对他们说:“我发现了一个弱点。我需要身份证。 Here’s the information. Let me write the description for you,” and if you do all that, and they’re in a good mood, then they will publish the ID, if they don’t forget. By that I mean, up to 10 years that they, sometimes, forget. That’s not a joke.

这是可怕的。

它是。所以，这就是我们要用一种非常不同的方法

有何不同?你的做法有什么不同?

我们出去了。我们现在监控着3100个信息源。在接下来的一两年里，这个数字将超过6000。我们已经有3000多家了。我们只需要让他们进入轮换阵容，让球队更强大一点。但我们必须根据客户的意见，优先考虑这一点。你使用这个库。你使用那个库。好吧，我们想先拿这些。然后，我们会去做一些比较晦涩难懂的事情。 By going out and looking for those resources, we’re able to find a lot more. I spend about 60% of my life in bug trackers. If you have a public bug tracker, I have probably been all through it. It’s my favorite thing in the world. Select all products, Search, Vulnerable, or Vulnerability, or Security, or Exploit. Now, I’ve got a full list of all the bugs or the vulnerabilities that have been reported against your products. Put them in our database. Even if they’re old, it doesn’t matter to me. I want to see that whole picture.

你要选择一个新的图书馆，你有两个选择。对你来说，重要的是能够说，“好吧，15年的历史看起来是什么样子?他的库有一百个漏洞，听起来很糟糕。他的图书馆有20个，听起来很不错，但他平均要花四天的时间来修理它们。他平均要花四年的时间来修理它们。[相声00:43:31]突然…对。突然之间，这就变成了一个非常不同的观点，让你决定，“等一下。如果我们一天要推出20个产品，我们就需要他的库，因为我们最多要等4天……什么?我后面闯红灯了。无论如何…是的。

我觉得最重要的问题应该在主题演讲中提出来，现在你们有机会给出答案了。我怎么买?我应该支付谁得到这个优越的数据库的漏洞。

这是一群青蛙绝对疯狂的地方，他们接受了我的销售模式，而我不是一个销售人员。他们已经给你了。它一直都在那个托盘里。没有额外的软件模块。没有额外的费用。只是，“嘿，这是正确的事情，”这是我们对JFrog感到兴奋的事情之一，因为他们有同样的心态。我要把我的数据放到每个组织里。我不在乎能从中得到多少钱。我很奇怪。然后，我们也喜欢他们，因为他们对我们的尽职调查是疯狂的，他们对我们的期望水平和我们对自己的期望水平是一样的。 So, we saw it as just a great partnership, as far as the mindset and how we approach this.

非常感谢你，布莱恩，我想用一句话总结一下我们所看到的。基本上，最重要的问题是……我知道时间到了。最重要的问题是注意力不集中。[Elaine 00:45:09]所以我根本没注意到你这是我最不关心的问题更大的问题是，当您不注意许可证遵从性时，当您不注意安全工具可以做什么的视频时，当您不注意数据库的质量时，这就是帝国失败的原因。有了这个，两件房子的东西。首先是结束语。还记得吗?洗手间…不，首先，你的桌子上有反馈，反馈卡片。在每个复选框里填上5个，就完成了。 Number two, you have a unique opportunity to ask questions. Those three [inaudible 00:45:54] gentlemen, especially, the lawyer. You don’t get a free consultation every day. Now, you have 25 minutes with him for free, and that’ll be [inaudible 00:46:03] in the discussion zones, and we all are going to go there now. So, come with us. It will be fun discussion. Brian will be able to finish what he wanted to say.

他会回答你汽车保险之类的问题。

他什么都擅长。谢谢你！