放大SDLC变更事件和x射线安全漏洞
警惕x射线安全漏洞
作为DevOps的关键任务工具,Artifactory、Xray、pipeline和Distribution中发生的关键事件揭示了您的软件管道是否在交付产品质量版本的轨道上。
的JFrog集成PagerDuty事件响应平台通过领先的操作管理工具之一,将jfrog支持的软件管道中发生的情况实时可见并告知整个团队。PagerDuty事件管理系统提供可靠的通知、自动升级、随叫随到调度和其他功能,以帮助团队快速检测和修复基础设施问题。
JFrog Artifactory是通用工件存储库管理器,是JFrog平台二进制驱动的DevOps成功公式的核心。JFrog x射线是通用的软件组合分析(SCA)工具,使DevSecOps团队要主动识别开源漏洞和许可遵从性在生产中出现之前的违规行为。JFrog Pipelines为平台提供可跟踪的CI/CD自动化。
通过与PagerDuty的JFrog集成,事件团队可以由合适的人员指导早期响应,以解决DevOps、安全性和发生时的更改事件。
整合的好处
- 主动管理安全性和遵从性贯穿软件开发和发布生命周期。
- 减少平均解决时间(MTTR)透过早前在安全漏洞以及违规行为。
- 自定义通知和策略根据违规类型和严重程度。
- 细粒度的可见性受影响的工件、组件和依赖项。
- 监控你的软件分发实时管道.
集成特性
在JFrog平台中,DevOps管理员可以配置人工事件和粒度Xray监视策略来触发出站事件webhook,并将它们与PagerDuty服务相关联。一旦收到,PagerDuty可以将每个事件报告指导给个人或团体,以提醒他们Artifactory中的事件,以及x射线检测到的安全或许可证违规。
 |
 |
 |
| Artifactory可以触发PagerDuty服务上的事件,以报告工件、构建和发布包的更改事件。 例如:上传一个工件,推送一个Docker标签,或者发布一个发布包。 |
Xray可以触发PagerDuty将事件报告直接发送给个人或组,以提醒他们在扫描的存储库、构建和发布包中检测到的安全或许可策略违规。 | 管道可以将实时CI/CD事件信息传递给PagerDuty服务。 快速响应构建故障,并接收有关特定管道步骤的可操作的细粒度信息。 |
用例
- SRE/IT管理监督-配置x射线策略设置可以确保对所有生产版本进行稳健、连续的扫描。通过PagerDuty发送的事件报告可以快速响应所发现的所有相关安全漏洞。
- 质量保证QA团队可以配置x射线策略和监视,以监视用于测试和分级环境的目标工件存储库,并通过PagerDuty事件服务报告安全违规,以便及时解决。
- 左移安全开发人员和开发经理配置x射线策略和监视,以持续扫描用于里程碑开发构建的目标工件存储库。通过PagerDuty发送的事件报告提醒开发团队注意任何安全漏洞,并在开发生命周期的最早阶段进行解决。
