JFrog平台应用程序安全
SSDLC程序
为了确保JFrog平台的安全性,我们的安全团队实施了一个广泛的安全计划,该计划与公司的软件开发生命周期(SSDLC)相结合。
安全发展培训
JFrog的研发团队定期接受相关培训,提高他们的意识、知识和能力,以更安全地设计和开发功能。
安全冠军计划
JFrog的研发安全卫士负责在研发团队中建立应用程序安全态势,提高JFrog应用程序安全计划的有效性,同时加强内部团队和安全领导之间的关系。安全冠军计划使安全性在整个研发过程中得以扩展,并帮助JFrog建立一流的应用程序安全文化。
安全风险分析
安全的设计
JFrog的安全设计审查过程的目标是尽可能早地为JFrog应用程序的开发确定安全改进,以防止薄弱的设计决策。
JFrog的工程团队从JFrog软件开发过程的最初阶段就遵循安全设计原则,如“最小特权”和“故障安全”。
威胁建模
威胁建模是JFrog安全开发生命周期的核心元素。这是我们采用的一种工程技术,用于帮助我们识别可能影响应用程序的威胁、攻击、漏洞和对策。我们使用威胁建模来塑造应用程序的设计,满足我们的安全目标,定义安全需求并降低风险。
安全性测试
静态应用程序安全测试(SAST)或静态分析是一种测试方法,用于分析源代码以查找使应用程序容易受到攻击的安全漏洞。在编译代码之前,SAST工具会扫描应用程序。
SAST工具在开发人员编写代码时提供实时反馈,帮助他们在将代码转移到SDLC的下一个阶段之前修复问题。这可以防止与安全相关的问题成为事后的想法。
动态应用程序安全测试(DAST)解决方案评估应用程序输入和输出,只关注攻击面。DAST解决方案测试运行的二进制文件,以找到SAST工具无法找到的漏洞,例如在动态生成的代码中发现的漏洞。
JFrog将SAST和DAST工具作为我们开发生命周期的一部分,并在每次代码签入以及代码发布时运行SAST和DAST扫描。
JFrog x射线-软件组合分析(SCA)
JFrog Xray是一个通用的软件组合分析(SCA)解决方案,本机集成了Artifactory,为开发人员和DevSecOps团队提供了一种扫描二进制文件的简单方法。它主动识别源代码中的漏洞和违反许可证的行为,在它们在生产版本中出现之前,提供独特的应用程序安全价值。
JFrog Xray持续扫描JFrog平台,以确保二进制级别存储的所有包的安全,并通过将安全工作流程自动化作为我们CICD管道的一部分,帮助在软件发布周期的早期实现控制和信任。
JFrog Xray本机集成了Artifactory,为安全软件包提供了一个主要中心,其中包括开发人员下载的开源二进制文件。
我们是“左移”方法的坚定信徒,在这种方法中,安全性和合规性问题的检测和补救从早期开始,并在整个SDLC中持续,而不是在代码准备交付到生产环境时。
使用我们自己的JFrog Xray产品,JFrog安全团队对我们的容器和软件工件进行持续的多层分析,以检测我们内部CICD管道的漏洞和许可合规问题。
当检测到某些安全漏洞时,JFrog的内部策略将导致构建失败,我们的工程团队根据与行业标准一致的内部SLA条款修复漏洞。
阅读更多披露和修复在JFrog产品中发现的安全问题。hth华体会最新官方网站
渗透测试
为了完成我们的开发生命周期,我们的产品和功能都在持续的基础上进行测试,无论是在内部,还hth华体会最新官方网站是在外部,都由第三方顶级专家进行测试。
Bug赏金
JFrog安全团队管理着托管在HackerOne上的私人漏洞赏金和私人漏洞披露程序,作为我们提高产品安全性承诺的一部分。
点击在这里以获取有关如何向JFrog报告安全问题的更多信息。
变更管理
JFrog安全团队跟踪并审查我们产品的所有更改,以确保其高质量并符合我们的业务目标。hth华体会最新官方网站JFrog的安全团队对选择性更改运行安全代码审查,以坚持我们的安全和合规需求。
Web应用程序和API保护
作为我们多层保护方法的一部分,JFrog使用云提供商管理的DDoS缓解服务。JFrog利用了下一代WAF, API保护,高级速率限制和机器人保护。
