| 访问控制 |
- 每个云客户帐户都使用唯一的ID部署,以确保充分的分离。
- 基于最小特权原则,每个云客户帐户都被授予自己独特的、狭窄的角色。我们只授予执行任务和访问共享资源(如数据库和云对象存储)所需的权限。2022世界杯阿根廷预选赛赛程
- JFrog云平台的默认和自动部署是在一个共享环境中,包括以下资源:2022世界杯阿根廷预选赛赛程
- 负载均衡器是区域级别的共享组件。
- 应用程序的数据库模式和角色专门针对每个客户。应用程序的数据库是云提供者管理的服务,在区域级别共享。
- 每个客户都有自己独特的角色,对自己的文件具有权限。应用程序的文件存储是云提供者管理的服务,在区域级别共享。
- JFrog云平台使用来自主要云提供商的托管对象存储和数据库。每个客户都有自己独特的角色,对自己的数据具有权限。
|
| 数据加密 |
- 传输中的数据被定义为通过同一网络或互联网在不同目的地(例如,应用程序到数据库或对象存储)之间积极传输的数据。在JFrog云平台中,每个客户的数据在传输过程中使用带TLS V1.2的HTTPS加密。
- 静止数据是指以任何数字形式(如云存储、数据库、数据仓库或云备份)物理存储和托管的数据,且不主动在不同目的地之间传输。在JFrog云平台中,所有托管的静止数据都使用256位AES加密安全地存储在数据库和对象存储中。
|
| 应用和基础设施控制 |
- 作为我们多层云保护方法的一部分,一个专门的DDoS缓解生态系统已经到位。JFrog利用了anti-DDoS保护、下一代WAF、API保护工具、高级速率限制和bot保护。
- JFrog的网络事件响应团队(CIRT)不断监控我们的产品、基础设施运营和安全解决方案。hth华体会最新官方网站JFrog的安全已经建立了全面的战略和政策,以迅速和有效地响应、通知和补救安全事件。
- JFrog的CIRT在我们的内部安全信息和事件管理(SIEM)中持续监控我们的hth华体会最新官方网站产品日志、基础设施操作和系统审计日志,以迅速有效地检测潜在事件。作为这一持续努力的一部分,CIRT调查并响应来自bug赏金程序、漏洞披露程序、自动扫描仪、客户支持门户和专用电子邮件收件箱的报告。
- 为了确保迅速和有效的响应时间,我们的安全操作中心(SOC)配备了高度合格和经验丰富的安全专家,他们致力于履行我们的内部SLA政策。
|
| 内部控制 |
- JFrog根据最小权限原则为每个系统和服务定义了访问角色。只有通过单点登录(SSO)和具有强密码策略的2因素认证(2FA)才能访问我们的所有应用程序。
- JFrog要求其员工使用密码管理器,以确保他们使用唯一和复杂的密码,并将其存储在安全的保险库中。
- JFrog使用零信任解决方案,通过JFrog的内部网络安全地连接我们的员工、设备和应用程序。我们的零信任解决方案提供Web和URL过滤、沙箱、云防火墙、CASB和DLP。
- JFrog工程师使用先进的2FA和即时访问解决方案连接到我们的生产资源,这允许我们采2022世界杯阿根廷预选赛赛程用最小特权原则并进行全面审计。
- 根据我们的政策,JFrog笔记本电脑配备了默认开启的加密技术,以及先进的反恶意软件。
- JFrog使用电子邮件保护解决方案,旨在防止恶意软件、零日攻击、网络钓鱼、商务邮件折衷(BEC)、垃圾邮件和n天。
- 作为入职培训的一部分,所有JFrog员工都必须接受强制性的隐私和网络安全意识培训,之后还必须每年进行一次培训。此外,员工还会接受持续的安全教育培训,内容涉及钓鱼、密码管理、安全开发和操作云账户的安全最佳实践等主题。
|
| 安全事件 |
- JFrog的CIRT与外部事件响应专家合作,协助我们处理紧急安全事件。作为我们全面漏洞管理流程的一部分,JFrog的CIRT对我们所有资产进行持续和自动的漏洞扫描;优先处理漏洞修复并快速发布补丁。
|
| 标准 |
- JFrog是在ISO 27001,是资讯科技保安管理政策的全球标准。ISO 27001是一个包括人员、流程和IT系统的政策和程序框架,其目标是为建立、实施、维护和持续改进信息安全管理系统(ISMS)提供需求。
- JFrog是在ISO 27017,为云服务提供商和用户制定的全球安全标准。ISO 27017就云计算的信息安全方面提供了指导,以创建更安全的基于云的环境,减少安全问题的风险。
- JFrog聘请安永会计师事务所对其系统和组织控制报告进行审计SOC 2第二类报告.此审核程序确保我们安全管理和保护客户的数据。该报告每年进行验证和更新,是概述和证明JFrog实现和维护遵从性和控制目标的方法的关键文件。
|
