JFrog安全研究
保护现代软件供应链的前沿安全研究
我们的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。
我们的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。
最新消息来自JFrog的安全博客
最新消息来自JFrog的安全博客
团队发现的最新漏洞
团队发现的最新漏洞
JFrog安全研究人员和工程师合作创建高级漏洞扫描仪,建立在对攻击者技术的深刻理解之上。
我们使用我们的自动扫描器,通过不断地识别公开可用软件包中的新漏洞并披露它们来帮助社区。
该团队披露的最新恶意软件包
该团队披露的最新恶意软件包
由于开源软件(OSS)包在现代应用程序开发中的广泛使用,公共OSS存储库已成为供应链攻击的热门目标。
为了帮助开发人员建立一个安全的环境,JFrog Security研究团队使用我们的自动化工具持续监控流行的存储库,并向存储库维护者和更广泛的社区报告发现的恶意包。
-
谢demo——一个信息发布者pypi • 总下载量<1k发表在 2023年5月31日 -
pipcolor6 -一个信息填充器pypi • 总下载量<1k发表在 2023年5月31日
-
Pythoncryptov2 -一个信息收集器pypi • 总下载量<1k发表在 2023年5月31日
-
Networkfix -一个恶意软件发射器pypi • 总下载量<1k发表在 2023年5月31日
-
Pyfontslibv2 -一个信息填充器pypi • 总下载量<1k发表在 2023年5月31日
团队发布的最新安全OSS工具
团队发布的最新安全OSS工具
当新的软件安全威胁出现时,在许多情况下,响应的时间至关重要。
JFrog Security研究团队为社区提供了一系列OSS工具,以快速识别软件中的此类威胁。
-
openssl_req_client_cert确定SSL服务器是否需要客户端身份验证,在这种情况下,基于OpenSSL 3.0.0..3.0.6的服务器将容易受到CVE-2022-3602和CVE-2022-3786的攻击发表在 2022年11月2日
-
scan_vulnerable_openssl_code查找具有静态链接版本的OpenSSL的二进制文件。具体来说,该工具区分了OpenSSL 3.0.0-3.0.6(易受攻击版本)和3.0.7(固定版本)。发表在 2022年11月2日
-
text_4_shell_patch在给出的common_text jar中查找易受攻击的ScriptStringLookup类并禁用lookup()函数,从而有效地修补漏洞。该工具还可以修补(禁用)易受攻击的DnsStringLookup和URLStringLookup功能发表在 2022年10月24日
-
scan_commons_text_versions递归地搜索StringLookupFactory的类代码(不管是否包含.jar文件名和pom.xml文件的内容),并尝试识别对象的版本,以报告包含的公共文本版本是否容易受到攻击。发表在 2022年10月18日
-
scan_commons_text_calls_jar在编译的.jar文件中定位对易受攻击的TextShell函数的调用,并将结果报告为每个调用出现的类名和方法名。发表在 2022年10月18日
报告在JFrog产品中发现的漏洞hth华体会最新官方网站
的安全和质量我们的代码是JFrog的首要任务。如果您在我们的产品中发现漏洞或任何其他类型的安全问题,请立即向我们报告。hth华体会最新官方网站安全研究人员可以参加一个漏洞赏金计划,并为他们的发现获得奖励。
