| 访问控制 |
- 每个云客户帐户都使用唯一ID部署,以确保充分的分离。
- 基于最小特权原则,每个云客户帐户都被授予自己独特而狭窄的角色。我们只授予执行任务和访问共享资源(如数据库和云对象存储)所需的权限。2022世界杯阿根廷预选赛赛程
- JFrog云平台的默认和自动部署在一个共享环境中,包括以下资源:2022世界杯阿根廷预选赛赛程
- 负载均衡器是区域级别的共享组件。
- 应用程序的数据库模式和角色专门用于每个客户。应用程序的数据库是云提供商管理的服务,在区域级共享。
- 每个客户都有自己独特的角色,对自己的文件具有权限。应用程序的文件存储是云提供商管理的服务,在区域级共享。
- JFrog云平台使用来自主要云提供商的托管对象存储和数据库。每个客户都有自己独特的角色,对自己的数据具有权限。
|
| 数据加密 |
- 传输中的数据被定义为通过同一网络或互联网在不同目的地之间主动传输的数据(例如,应用程序到数据库或对象存储)。在JFrog云平台中,每个客户的数据都使用HTTPS和TLS V1.2加密传输。
- 静态数据定义为物理存储和以任何数字形式托管的数据(例如,云存储、数据库、数据仓库或云备份),并且不会在不同目的地之间主动传输。在JFrog云平台中,所有托管的静态数据都使用256位AES加密安全地存储在数据库和对象存储中。
|
| 应用和基础设施控制 |
- 作为我们多层云保护方法的一部分,一个专门的DDoS缓解生态系统已经到位。JFrog利用anti-DDoS保护,下一代WAF, API保护工具,高级速率限制和机器人保护。
- JFrog的网络事件响应团队(CIRT)不断监控我们的产品、基础设施运营和安全解决方案。hth华体会最新官方网站JFrog的安全已经建立了全面的策略和策略,以快速有效地响应、通知和补救安全事件。
- JFrog的CIRT在内部安全信息和事件管理(SIEM)中持续监控我们的产品日hth华体会最新官方网站志、基础设施操作和系统审计日志,以迅速有效地发现潜在的事件。作为这一持续努力的一部分,CIRT调查并回应来自bug赏金程序、漏洞披露程序、自动扫描仪、客户支持门户和专用电子邮件收件箱的报告。
- 为了确保快速高效的响应时间,我们的安全运营中心(SOC)配备了高素质和经验丰富的安全专家,他们致力于履行我们的内部SLA政策。
|
| 内部控制 |
- JFrog根据最小权限原则为每个系统和服务定义了访问角色。只有通过单点登录(SSO)和具有强密码策略的双因素身份验证(2FA)才能访问我们的所有应用程序。
- JFrog要求其员工使用密码管理器,以确保他们使用唯一而复杂的密码,并将其存储在安全的保险库中。
- JFrog使用零信任解决方案,通过JFrog的内部网络安全地连接我们的员工、设备和应用程序。我们的零信任解决方案提供Web和URL过滤、沙箱、云防火墙、CASB和DLP。
- JFrog工程师使用先进的2FA和即时访问解决方案连接到我们的生产资源,这允许我们采2022世界杯阿根廷预选赛赛程用最小特权原则并进行全面审计。
- JFrog笔记本电脑配备了加密技术,默认开启,符合我们的政策,以及先进的反恶意软件。
- JFrog使用电子邮件保护解决方案,旨在防止恶意软件,零日攻击,网络钓鱼,商业电子邮件妥协(BEC),垃圾邮件和n天。
- 作为入职培训的一部分,所有JFrog员工都会接受强制性的隐私和网络安全意识培训,之后还会接受强制性的年度培训。此外,员工还会接受持续的安全教育培训,内容包括网络钓鱼、密码管理、安全开发和云帐户操作的安全最佳实践等。
|
| 安全事件 |
- JFrog的CIRT与外部事件响应专家合作,协助我们处理紧急安全事件。作为我们全面漏洞管理流程的一部分,JFrog的CIRT对我们所有资产进行持续和自动的漏洞扫描;优先考虑漏洞修复并快速发布补丁。
|
| 标准 |
- JFrog的认证ISO 27001,资讯科技保安管理政策的全球标准。ISO 27001是一个包括人员、流程和IT系统的政策和程序框架,其目标是为建立、实施、维护和持续改进信息安全管理体系(ISMS)提供要求。
- JFrog的认证ISO 27017,为云服务提供商和用户制定的全球安全标准。ISO 27017为云计算的信息安全方面提供了指导,以建立一个更安全的基于云的环境,降低安全问题的风险。
- JFrog聘请安永会计师事务所审计其系统和组织控制报告SOC 2 II类报告.此审核程序确保我们安全地管理和保护客户的数据。该报告每年进行验证和更新,是概述和证明JFrog实现和维护合规性和控制目标的方式的关键文件。
|
