JFrog信任

证书项目

• JFrog SOC 2 Type II兼容吗?

  是的，安永审计了JFrog的系统和组织控制，并发布了SOC2 Type II报告(SOC2 Type II)]，其中解释了为支持我们的运营和合规而建立的控制。请阅读我们的证书课程//m.si-fil.com/trust/certificate-program/．
• JFrog是否符合ISO 27001标准?

  是的，JFrog通过了ISO 27001(信息安全管理的国际标准)认证。请阅读我们的证书课程//m.si-fil.com/trust/certificate-program/．
• JFrog PCI DSS兼容吗?

  是的，JFrog通过了PCI DSS 3.2, SAQ A的认证，这是由支付卡行业安全标准委员会管理的行业标准。请阅读我们的证书课程//m.si-fil.com/trust/certificate-program/．

风险评估

• 您是否有正式的信息安全政策，至少每年审查一次，并由高级主管批准?

  所有政策每年都由JFrog管理层审查和批准。
• 您是否执行组织范围内的安全风险评估?

  是的，这是基于ISO 27001的方法执行的。

隐私

• JFrog是否有适用于相关服务的隐私政策?

  是的，请看，//m.si-fil.com/trust/privacy/
• 组织是否收集、处理或储存任何个人资料以执行相关服务?

  JFrog可以访问最少的个人信息，其中包括为我们的客户提供服务和供内部使用。欲了解更多信息，请参阅我们的隐私政策//m.si-fil.com/trust/privacy/
• JFrog是否符合CCPA?

  JFrog已采取最佳实践措施，以确保遵守加州消费者隐私法(CCPA)。
  
• JFrog是否符合GDPR ?

  JFrog采取了最佳实践措施，以确保符合欧盟的一般数据隐私条例(GDPR)。
  

App 保护

• 采取了哪些安全控制措施来保护JFrog基础设施和应用程序(例如IDS, web应用程序防火墙)?

  作为我们多层保护方法的一部分，一个专门的DDoS缓解生态系统已经到位。JFrog利用anti-DDoS保护，下一代WAF, API保护工具，高级速率限制和机器人保护。
• JFrog是否证明要安装的应用程序版本已经通过了合规的渗透测试过程评估?

  为了完成我们的开发生命周期，我们的产品和功能都在持续的基础上进行测试，无论是在内部，还hth华体会最新官方网站是在外部，都由第三方顶级专家进行测试。
• JFrog有没有使用网络工具来保护WAF，反DDoS?

  作为我们多层保护方法的一部分，一个专门的DDoS缓解生态系统已经到位。JFrog利用anti-DDoS保护，下一代WAF, API保护工具，高级速率限制和机器人保护。
• JFrog如何解决其产品和交付给客户的Docker映像中的漏洞?hth华体会最新官方网站如何修复漏洞?JFrog如何管理它的补丁部署和频率?

  JFrog拥有全面的自动化漏洞管理、威胁优先级和补丁部署流程，以确保快速检测、处理和修复关键漏洞。为了执行安全风险分析，我们将Xray作为内部DevSecOps流程的一部分，当Xray在我们的管道中检测到安全漏洞时，我们可以自动失败构建。

账户安全

• 是否支持基于SAML 2.0的身份联合?

  JFrog平台提供了基于saml的单点登录服务，允许联邦JFrog合作伙伴(身份提供者)完全控制授权过程。
• JFrog平台是否提供了限制用户访问数据的控件?

  JFrog平台提供了一个灵活的权限模型，允许管理员对用户和组访问不同资源的方式进行细粒度控制。2022世界杯阿根廷预选赛赛程权限从一个中心位置进行管理，在那里您可以控制用户或组的访问权限。
• 如何保护用户凭证、API令牌和加密密钥等机密?

  客户敏感数据，如密码和API密钥，由应用程序加密。

可见性和监控

• 记录了哪些数据?

  JFrog平台为所有JFrog产品提供审计跟踪日志和标准化日志。hth华体会最新官方网站
  

• 支持应用程序的基础设施的部署模型是什么?

  JFrog客户可以在三个主要云提供商中的任何一个上与Artifactory cloud共同定位所有云服务:谷歌云平台(GCP)、Amazon Web services (AWS)或Microsoft Azure。
  JFrog为您的JFrog部署提供了多层架构，包括高可用性系统、备份等。
  JFrog还为希望将自我管理与云混合的客户提供混合解决方案。
• 贵组织是否维护一个公开的系统状态网页，其中包括定期维护、服务事件和事件历史?

  JFrog传达我们平台的状态和事件https://status.jfrog.io/．

数据加密

• 数据在传输过程中如何受到保护?

  每个客户的数据在传输过程中使用HTTPS和TLS V1.2进行加密。
• 如果在托管环境上启用了加密，如何保护静态数据?

  所有托管数据都使用SHA-256加密安全地存储在共享数据库和对象存储中。
• 对于静态数据加密，如何管理加密密钥?

  我们所有的加密密钥都存储和管理在云托管的密钥管理服务中，这让我们可以创建和管理加密密钥，并控制它们在广泛的服务和应用程序中的使用。它允许我们生成、使用、旋转和销毁加密密钥。

数据管理

• 帐户停用和终止后，如何安全地删除数据?

  商业客户帐户通常在未激活60天或当前订阅期结束后30天后停用。如果客户没有联系到我们的支持团队，我们将完全删除其数据。
  免费层帐户通常在21天不活跃后被停用。7天后，其所有数据将从JFrog SaaS解决方案中删除。
  有关更多信息，请参阅我们EULA -的第14.6节//m.si-fil.com/jfrog-cloud-general-terms/．
• 客户数据如何与其他租户的数据隔离(例如，单独的数据库，或通过应用程序逻辑或其他机制)?

  每个客户帐户都使用唯一的ID部署，以保证充分的分离。
  
  基于最小特权原则，每个客户帐户都被赋予了自己独特而狭窄的角色。我们只授予执行任务和访问共享资源(如数据库和云对象存储)所需的权限。2022世界杯阿根廷预选赛赛程
  
  JFrog SaaS解决方案的默认和自动部署在一个共享环境中，包括以下资源:2022世界杯阿根廷预选赛赛程
  
  负载均衡器是区域级别的共享组件。
  应用程序的数据库模式和角色专门用于每个客户。应用程序的数据库是云提供商管理的服务，在区域级共享。
  每个客户都有自己独特的角色，对自己的文件具有权限。应用程序的文件存储是云提供商管理的服务，在区域级共享。

• 如何检测异常?

  JFrog的网络事件响应团队(CIRT)在内部SIEM(安全信息和事件管理)中持续监控我们的产品日志、基础设施操作和系统审计日志，以迅速有效hth华体会最新官方网站地发现潜在的事件。作为这一持续努力的一部分，CIRT团队调查并回应来自漏洞赏金计划、漏洞披露计划、自动扫描仪、客户支持门户和安全电子邮件收件箱的报告。
• 贵公司是否有网络安全事件响应计划和报告事件的流程?

  是的。我们的网络安全事件响应团队遵循明确定义和详细的方法和程序来识别、控制、调查、报告和响应每种类型的事件。
• 组织是否保持24x7覆盖以响应安全警报和事件?

  是的。为了确保及时有效的响应时间，我们的SOC(安全运营中心)配备了高素质和经验丰富的安全专家，他们致力于履行我们的内部SLA政策。
• 如何持续评估和修复组织的网络漏洞?

  JFrog有一个程序，可以评估、监控和管理来自多个来源的漏洞，并根据我们的内部SLA解决它们。
  我们也有漏洞奖励和漏洞披露程序来帮助我们识别漏洞。安全团队对问题进行评估和调查，并根据其可能的影响和关键级别解决问题。
  渗透测试有助于确保生产平台的整体安全状态，至少每年由外部第三方执行一次，也由安全团队在内部执行一次。
  此外，安全扫描是持续进行的。

• 对于托管在公共云或托管设施上的应用程序:对基础设施的远程管理访问(例如，点对点VPN或多因素身份验证)采取了哪些控制措施?

  JFrog使用零信任解决方案，通过JFrog的内部网络安全地连接我们的员工、设备和应用程序。我们的零信任解决方案提供Web和URL过滤、沙箱、云防火墙、CASB和DLP。
  JFrog工程师使用先进的2FA和即时访问解决方案连接到我们的生产资源，这允许我们采2022世界杯阿根廷预选赛赛程用最小特权原则并进行全面审计。
• 您使用哪些安全控制措施来防止您拥有和使用的域名上的欺骗或伪造电子邮件?

  JFrog.com使用SPF(发件人策略框架)和DMARC(基于域的消息认证，报告和一致性)电子邮件认证方法。JFrog使用电子邮件保护解决方案，旨在防止恶意软件，零日攻击，网络钓鱼，BEC(商业电子邮件泄露)，垃圾邮件和N-days。
• 描述用于管理组织中设备使用的策略和安全措施。

  是的，所有JFrog笔记本电脑都安装了MDM，并与先进的反恶意软件一起执行加密策略。

• 是否所有员工都接受过组织信息安全政策和程序方面的培训?

  所有JFrog员工都必须接受年度强制性网络安全和隐私意识培训，这也是他们入职培训的一部分。