JFrog

    云客户?
    免费开始>
    在MyJFrog中升级>
    云的新功能>






    跳到元数据的末尾
    转到元数据的开始

    概述

    从Xray 3.59.4开始,除了Xray的软件组成分析和扫描软件包中的漏洞外,Xray现在启用您需要对多个类别执行扫描,这些类别涵盖了配置中的安全问题和的使用代码中的开放源代码库。以及其他x射线功能,如CVE浓缩,上下文分析,和操作风险,Xray现在提供端到端的供应链安全覆盖不同软件供应链攻击的形式。

    这个问题

    当涉及到与代码无关的安全问题时,由于它们是最小且最容易修复的问题,因此在组织中经常将它们视为潜在的安全威胁而被忽视。这将使您的软件潜在地暴露于由于安全操作不当(例如,缺少身份验证)、不安全的配置(例如,过多的特权)、弱身份验证等而造成的安全威胁中。

    解决方案

    Xray执行自动安全扫描,以检测所分析工件中的这些潜在安全暴露.扫描是通过使用静态分析扫描仪自动扫描工件来执行的由JFrog研究团队不断增强。下面几节描述扫描过程详细分类。

    JFrog订阅级别

    云(SaaS)

    企业X

    企业+

    先进DevSecOps
    页面内容

    扫描的类别

    秘密类别

    秘密检测

    检测在Artifactory中存储的工件中留下的任何暴露的秘密,以阻止内部令牌或凭证的意外泄漏。

    x光扫描你的配置文件和文本文件用于明文凭证、私钥、令牌等。Xray搜索850多种特定类型的凭据,并且该列表始终是最新的。x射线还扫描软件中使用的证书中的问题。

    例子

    • 使用过期证书
    • 包含明文API密钥、私钥

    服务类别

    服务配置安全

    检测公共OSS库和服务是否安全配置,因此应用程序可以很容易地在默认情况下进行加固。

    x射线扫描工件中包含的特定服务和守护进程的配置问题和安全问题,例如web服务器、数据库服务、代理、日志守护进程等。

    在这个版本中,只支持Envoy, Etcd, Prometheus。

    例子

    • 不安全的使用凭证(NGINX凭证在配置文件中,凭证存储不安全)
    • 强制安全通信(将HTTP重定向到HTTPS,强制TLS, TLS版本)
    • 允许弱加密算法
    • 对外公开管理接口
    • 未经身份验证的资源访问2022世界杯阿根廷预选赛赛程

    应用程序类

    应用程序库误用

    检测公共OSS库和服务是否被应用程序安全地使用。

    x射线扫描配置问题、安全错误和应用程序框架中通用OSS库的不安全使用,包括使用过多的特权、不安全的通信方法、不充分的授权机制或不安全的加密操作。

    在这个版本中,只支持Python和Node-JS应用程序。

    例子

    • 不安全的凭证使用(不安全的密钥存储)
    • 强制安全通信(将HTTP重定向到HTTPS,强制TLS,验证Python脚本中所有服务器的TLS证书,强制TLS版本,使用安全HTTP头)
    • 使用弱加密密钥
    • 节流登录以防止暴力攻击(节流Node.js登录以防止暴力攻击)
    • 使用用户提供的输入调用Node.js执行功能

    IaC类别

    IaC安全分析

    扫描存储在Artifactory中的IaC文件,以便及早发现云和基础设施配置错误,以防止攻击和数据泄漏。

    x射线扫描Artifactory中的Terraform状态,以查找云服务配置问题,例如以下示例。x射线扫描AWS、Azure和GCP云服务的Terraform状态。

    例子

    • 服务访问限制不足(对存储库的公共访问,对集群的公共访问,全局可读/可删除/可写桶,在ECS服务中使用管理员角色,对所有资源具有特权访问的IAM用户,对所有API网关方法强制授权)2022世界杯阿根廷预选赛赛程
    • 不安全地使用凭证(使用硬编码凭证)
    • 允许弱加密算法(使用弱密码套件)
    • 以特权模式运行批处理
    • 实施安全通信(监听HTTP、未加密通信)
    • Glue策略中的通配符操作
    • 缺少日志记录(例如,发现禁用了日志记录的CloudTrail trails)
    • 禁用升级(例如,禁用小引擎升级的RDS数据库实例)
    • 静态数据加密使能kineesis流

    它是如何工作的?

    启用/禁用扫描类别

    缺省情况下,禁用扫描分类.您可以根据需要单独启用或禁用每个类别。

    扫描类别仅应用于新扫描,而不适用于现有的索引工件。扫描将在索引资源上运行,但是不会在索引工件历史记录上运行。2022世界杯阿根廷预选赛赛程有关更多信息,请参见索引x射线资源2022世界杯阿根廷预选赛赛程

    请注意,在某些情况下,由于涉及深度扫描,扫描可能需要更长的时间才能完成。

    如果要启用扫描类别,请执行以下操作:

    1. 政府模块,转到x光|设置|一般、并点击索引资源。2022世界杯阿根廷预选赛赛程
    2. 选择存储库或构建并选择配置
    3. 选择要启用的类别:漏洞上下文分析、服务、机密和应用程序。

    查看扫描状态和结果

    一旦工件被索引,Xray将验证工件是否在您为扫描启用的任何类别中包含任何安全问题。

    查看扫描结果,请执行应用程序| x射线|扫描列表。

    1. 选择资源类型存储库.注意,在这个版本中,新的扫描类别只支持存储库。
    2. 从列表中选择资源。
      每次扫描都包含对结果的概述,例如发现了多少漏洞、扫描状态等等。需要注意的是,每个类别都有一组用于搜索特定问题的扫描器。为了让你全面了解x光扫描的内容结果将显示所有扫描仪,包括已扫描且正常的项目。

    3. 选择要查看的扫描图。
      扫描结果显示在“安全问题”下。

    4. 选择问题以查看更多详细信息。每期的内容如下:

      描述
      JFrog严重性徽章

      问题的严重性由JFrog安全研究团队确定:

      • 至关重要的
      • 媒介
      状态

      有两种可能的状态:

      • 修复:发现了一个应该修复的问题
      • 好吧x射线扫描并验证的问题是ok的(即,没有发现安全问题)
      ID 问题标识符
      CWE 与此问题相关联的弱点类型的通用弱点枚举(CWE)标识符。
      修复的成本

      估计修复建议的解决方案所涉及的工作量:

      • 高的工作:软件开发人员需要付出大量的努力。示例包括从源代码构建代码和应用广泛的配置的变化。
      • 中工作:软件开发人员需要中级操作。示例包括对现有配置进行更改。
      • 低努力:软件开发人员所需要的工作最少。示例包括删除文件,以及对现有配置进行微小更改
      发现 提供有关问题的信息,包括发现了什么以及在哪里发现了问题、问题的安全影响以及需要采取哪些措施来修复问题。
      结果 利用此问题进行攻击的可能后果。

    对现有工件进行曝光扫描

    从Xray 3.66版本开始。x及以上,您可以扫描现有工件上的曝光。做到以下几点:

    1. 扫描列表页面,存储库选项卡,选择存储库。
    2. 导航到您想要扫描的工件。
    3. 点击工件旁边的Actions Menu,然后选择扫描曝光

    结果显示在安全问题

    REST API支持

    以下REST api支持曝光扫描类别功能:

    • 没有标签
    版权所有©2023 JFrog Ltd.