2021年にJFrogはセキュリティを新たな高みへと飛躍しました

セキュリティは今やDevOpsチームにとって重要な“必”須となっており,JFrogは2021年に,すでに強固なセキュリティ機能を持つプラットフォームを大幅に拡張しました。このブログでは昨年の主な進歩を振り返り，2022年に向けての展望を語ります。

私たちの目標:ソフトウェアのサプライチェーンに対する攻撃がより攻撃的で巧妙になっている今,私たちがどのようにしてお客様にSDLC全体に対する最高のDevOpsセキュリティとコンプライアンス保護を提供しているかを説明することです。

2021:チャレンジングな年

パンデミックの混乱が2021年にまで及んだため,DevOpsチームはリモートでの作業を続けなければならず,柔軟性と拡張性が成功の鍵となりました。この課題にサプライチェーン攻撃など,ハッキングが上昇し続け,ソフトウェアの開発と配布に支障をきたしました。

その結果,DevOpsチームは特に世界的なサイバーセキュリティの脅威が”国家のサイバーセキュリティ強化に関するホワイトハウス大統領令“のような新しい規制や義務を各国政府に要求したため,深く掘り下げて新しいソリューションを探す必要に迫られました。

10年に一度といわれる重大なゼロデイ脆弱性が最も人気のあるソフトウェアの一つであるLog4jに発生して,今年が締めくくられました。これは簡単に悪用される重大な脆弱性が一般的なオープンソースソフトウェアに依然として存在することが明らかになりました。

Log4jから得た重要な教訓は,どの本番システムがこのような脆弱性の影響を受けているかを迅速に把握することの重要性です。最終的に,この質問は配布されるバイナリやアーティファクトをスキャンすることでしか,真実の答えは得られないということがわかりました。

Log4jのような現実的な脅威に加え,過大評価され,不当に重要度が高いとされる問題が開発者のもとに殺到し続けました。開発者、DevOps、セキュリティチームはコンテキストベースの分析を通じて、最も重要な脆弱性、コンプライアンス違反、その他のセキュリティ上の欠陥をピンポイントで特定できるスマートな優先順位付けソリューションをますます必要とするようになっています。

JFrogができること

JFrog DevOps平台と特にx光ソフトウェア構成分析ソリューションにより,コーディング,ビルド,テスト,配布,本番監視など,ソフトウェアのリリースサイクル全体を保護します。これらの自動化されたセキュリティおよびコンプライアンスチェックは全ての開発およびリリースプロセスに組み込まれています。その結果,セキュリティに対して比類なき可視性が得られ,SDLCに影響を及ぼす最も重要な脅威を迅速に特定できます。

つまり,JFrogを使う事で開発者,セキュリティ,DevOpsの各チームはセキュリティの専門家でなくてもセキュリティやコンプライアンスに関する問題を迅速かつ継続的に検出し,優先順位をつけ,修正できるようになるのです。

大きな進歩

2021年はx光への大規模な投資を継続し，セキュリティ企業の買収など，大躍進を遂げました。詳しくはこらをご覧ください。

• Log4jの危機に注目が集まる中,JFrogはJFrog Artifactoryとx光を使用してこの脅威を検出,軽減,ブロックする方法を提供し,さらにこの問題についての継続的な技術的なカバレッジを行いました。Log4j脆弱性リソ，スをご覧ください。

• また,バイナリやソースファイルがLog4j / Log4shellの脆弱性の影響を受けているかどうかを判断する無償かをリリ，スしました。以下はその詳細です。

• セキュリティ製品のリ，ダ，であるVdooの買収により,JFrogは一流のセキュリティ研究者チームと世界レベルのセキュリティ技術の両方を獲得し,以下のような機能を備えています。
  • 重要なセキュリティギャップの改善を優先順位付けするためのコンテキストに基づく脅威分析
  • ゼロデ@ @脆弱性の自動検出
  • ソフトウェアサプラ▪▪チェ▪▪ンにおける悪意のあるパッケ，ジの検出
  • 開発者向けにステップバ@ @ステップで緩和策をアドバ@ @スする@ @ cveデ@ @タを充実
  • c / c++バナリパッケジがどのようにコンパルされたかに関係なく検出
  • デバス/IoT上の組み込みソフトウェアの解析およびファムウェアのスキャン
  • 重要なCVEに関する研究に裏打ちされた情報と,その解決・緩和方法に関するガイダンスを含む詳細かつ実用的な脆弱性データベース
  • 構成リスク，シ，クレット，実装ギャップの検出
  • 組込み機器向けリアルタ▪▪ムランタ▪▪ム保護
  • 既知および未知のセキュリティリスクを特定するためのリサ，チに基づいたより深いカバレッジ
  • 40以上のセキュリティ標準と規制へのセキュリティリスクとマッチング

• JFrogはH2 Database, infrhalt, PyPI, HAProxy, 23andMeのYamale, BusyBox, TensorFlowのユ，ティリティなどに影響を与える複数のesc escンパクトのあるcve脆弱性を公開しました。

• x射线には以下のような重要な機能が追加されました。
  • cve脆弱性のコンテキストと適用性分析と優先順位付け
  • 開発者へ段階的に緩和策をアドバ@ @スする@ @ cveデ@ @タの強化
  • Jiraとのネティブなンテグレション
  • Git依存性スキャン
  • SPDX/CycloneDX標準SBOMフォ，マットのサポ，ト

• JFrog Artifactoryとx射线は米国国防総省のIronBank認証を取得しました。これは公共部門のお客様にとって大きなメリットのある重要なマ▪▪ルスト▪▪ンです。

• また，政府機関のお客様にとって重要なのはJFrog平台がAWSおよびAzureの政府向けクラウドで利用可能になり,これらのパブリッククラウド上に直接Artifactoryとx光を容易かつ安全に展開できるようになりました。

• x光はRedHat漏洞扫描器認証を取得しました。これはx光が特定した脆弱性とライセンスのコンプライアンスデータが正確であり,リスク評価が信頼できる認定ソースに基づいているという保証を組織に提供するものです。

• x射线とSplunk SIEMのンテグレションにより,DevSecOpsチームはSplunk企业を使用してx光から脆弱性とライセンスコンプライアンス違反データの収集,分析をできるようになりました。

• また，x射线とPagerDutyのンテグレションにより，DevOpsチ，ムはx射线ディプバナリスキャンによって検出されたセキュリティ違反の通知をPagerDutyで受け取れるようになりました。

• 最後にx射线はDevOps.comの2021年最佳开发ops解决方案賞を受賞しました。編集者は”JFrogはサイバーセキュリティ,DevSecOps,セキュアデバイスフリート管理,物联网において,その影響力と専門性を拡大しました。と発言しています。

次は?

2022年,強固なセキュリティとコンプライアンス体制の維持はDevOpsチームにとって引き続き課題となるでしょう。だからこそJFrogは当社のプラットフォーム,特にx光のセキュリティ機能を強化し続けているのです。

2022年には以下のような分野ですでに素晴らしい取り組みが行われています。

• 組込みソフトウェア，モバIoT/エッジデバスの保護
• ソフトウェアの構成上の問題やシ，クレットを検出
• CycloneDXの幅広いサポト，特に新しい1.4バジョンの仕様にいて
• 全体的，コンテキスト分析を行い，問題の改善ガesc escダンスを提供
• 新しい,より良いダッシュボードとレポートを生成し,セキュリティやコンプライアンスレベルをより明確に把握
• その他

ぜひご期待ください。