博客家

以devops为中心的安全终于来了|宣布JFrog高级安全

世界上第一个基于现代DevOps工作流设计的安全解决方案

通过纳蒂·达维迪,JFrog安全公司高级副总裁

13分钟阅读

宣布JFrog高级安全

今天对JFrog来说是激动人心的一天,也是迈向端到端软件供应链安全的重要一步。JFrog高级安全是我们实现以DevOps为中心的安全的独特方法,也是专门为今天的现代DevOps工作流构建的唯一解决方案。

开发人员和DevOps基础设施现在是当今黑客和坏人的攻击载体。无数的工具和过程,更不用说大量的开源库和二进制文件,都为整个软件供应链带来了意外和恶意的风险注入机会。作为软件供应链(SSC)的所有者,DevOps团队已经成为组织中事实上的“安全所有者”。与此同时,安全团队正试图平衡多种工具、配置、报告等(所有这些都需要开发团队资源),并对遵从性和业务需求负责。2022世界杯阿根廷预选赛赛程

目前,没有任何解决方案能够充分地将这些组连接起来,或者提供统一的数据和见解,有效地使安全团队成为开发组织的监工,而开发组织正被非其核心能力的请求、过程和规则所淹没。此外,团队经常受到无数点解决方案的阻碍,这些解决方案需要在技术、报告和聚合中进行集成,当然还有手工分析和评估,以及提供不同的上下文和不集中的补救建议。

在软件供应链安全威胁的新时代,我们需要一种不同的、整体的方法。

DevOps的安全性

JFrog是端到端二进制管理的先驱,这是其液体软件愿景背后的核心技术。在从开发到生产的软件管理的完全启用过程中,继续进行自然的(但却是实质性的)演进,安全性成为这一演进的关键组件和关键使能器。

有许多关键因素促成了这一演变,包括:

  • JFrog的独特地位作为开发人员、生产和安全角色之间的桥梁,以及作为核心支持治理和控制供应链的平台。
  • 最近发生的一系列重大安全事件Log4Shell,Spring4Shell,SolarWinds等等,增加了整个软件供应链对安全性的需求,而不仅仅是从专注于源代码分析的左移安全方法。
  • 新的安全要求和法规包括最近的2021年5月起的总统令在内,几乎每周都在起草,对企业和政府机构都有影响H.R. 7900议案,白宫管理和预算办公室(OMB)备忘录通过安全的软件开发实践,加强软件供应链的安全。甚至在最近,我们看到新软件供应链指导来自英国国家网络安全中心,以及来自欧盟的额外倡议。

最重要的是,JFrog独特的二进制级方法提供了超出源代码的洞察级别,这带来了对软件中真正的安全风险与所谓的安全风险的真正理解。

开发人员DevOps安全

安全来自唯一的真相来源

全球数以百万计的开发人员和数千家公司,包括财富100强中的大多数公司,已经依赖JFrog解决方案来安全管理其关键任务的软件供应链。JFrog平台是他们管理关键软件资产的集中的、单一的真相来源:他们的二进制文件。想要提供真正的端到端安全解决方案的安全供应商完全依赖于对这些资产的访问。毕竟,如果不控制中间位置,就不存在左移或右移。

“左移”的方法是不够的
源代码玩家(如SCA工具和典型的AST - SAST、DAST、fuzzer等)理解源代码分析不足以真正分析上下文。上下文理解只能通过查看软件二进制代码来实现,它包含的信息比单独的代码多得多。容器、档案,甚至是简单的EPM文件都提供了软件的发展历程。由于二进制文件是交付给客户的最终资产,它当然是今天攻击者的目标。如果没有这些关键信息,就不可能提供确定风险的上下文理解。当焦点只集中在开发人员的IDE上时,识别出的问题无法以高效、优先的方式全面识别、补救、缓解或修复。安全需要从代码、编译代码、图像、构建、发布到运行时进行整体处理,以达到全面的目的。

为了运行时安全性而右移是不够的
专注于运行时和生产的企业安全解决方案(如云安全和容器安全)正在稍微向左移动,但还没有源代码纯玩家走得远。他们在需要的程度上这样做,以便通过DevOps流程将产品的发现反馈给开发人员。

对源代码和二进制文件的可见性是供应链解决方案的要求。如果一个产品不能在二进制级别看到供应链的中心,从而从内到外提供可见性,那么它将不会也不可能提供全面的安全性。

随着对Vdoo的收购,JFrog大大加快了其安全进程,构建并提供专门为DevOps设计的安全解决方案。二进制分析功能伏都教带来的——加上JFrog平台为DevOps提供的集中式“真相之源”——实现了真正的端到端安全和控制。它提供了一种统一而有效的体验,极大地减少了开发人员、DevOps工程师和安全领导的开销。

在过去一年中,JFrog x光和Xray数据库得到了显著的增强和改进,将Xray转变为企业级的领先产品,涵盖了通过IDE的左移用例和深入的二进制级分析。今天,随着JFrog Advanced Security的推出,JFrog的安全产品取得了巨大的飞跃,成为了一个全面的安全解决方案,旨在注入到您的DevOps工作流程中。JFrog高级安全——它增强了Xray许多创新能力——解决了现代供应链威胁,与JFrog Artifactory一起工作,作为您的二进制文件的单一控制源,所有这些都在一个单一平台中。

介绍JFrog高级安全

JFrog高级安全增强x射线与许多新功能,这些都与供应链威胁有关。为了交付这一新的安全层,我们首先对JFrog Xray进行了大幅度的增强,以包括JFrog安全研究团队关于CVE和恶意软件包的专有数据,以及添加到数据库中的CVE文章中的详细补救和缓解说明。我们投入了大量资2022世界杯阿根廷预选赛赛程源,使cve和许可证上的JFrog Xray数据更加可靠,增强了JFrog Xray的可伸缩性,并显著减少了数据更新延迟。还添加了一个“操作风险”策略功能,以基于软属性(如维护人员的数量、维护节奏等)来决定包阻塞。

JFrog x射线的核心技术方法是基于高效和精确索引包元数据的。JFrog高级安全增加了一种深入二进制的新方法扫描查看无法通过包管理器、SBOM或典型元数据访问的数据。因此,它允许对所分析二进制文件的安全状态有全新的理解,特别是在涉及到容器时。指定的扫描器允许识别在大多数情况下无法通过源代码分析发现的安全问题。使用这种深度扫描将首次实现以上下文的方式对安全问题的全面理解——不仅识别对其他人来说是盲点的问题,而且还了解它们在生产中的潜在影响。这要归功于他们对软件的更广阔的视野,而不仅仅是源代码分析。

介绍JFrog高级安全

作为JFrog高级安全的一部分,现在有了新的功能:

1.cve的容器语境分析

我们从开发人员那里收集到的关于SCA工具的最常见的输入之一是,它们生成了太多的结果,要求他们修复许多实际上不会带来任何风险的漏洞。我们还了解到,由于缺乏背景,这些结果的优先级排序是低效的或错误的。传统的CVSS评分方法创造了更多的复杂性,因为它们没有考虑到特定的配置,安全机制和被分析软件的其他属性。

JFrog Advanced Security为容器引入了一种前所未有的能力:通过深入分析容器及其具体内容和属性,检查已识别的cve的适用性。例如,它将检查第一方代码是否调用了与特定CVE关联的脆弱包中的脆弱函数。它还将扫描附加的配置和文件属性,以判断是否满足了使用CVE的先决条件。在新的供应链安全法规时代,例如要求0 cve的7900法案会影响产品的安全或者缓解的替代方案,语境分析成为不影响交付时间和确保软件产品安全性的唯一方法。背景分析还建议考虑到容器的具体属性和配置的具体、可操作和具有成本效益的补救步骤,并建议具有成本效益的缓解措施。这是第一次,开发人员不会被要求“简单地解决所有问题”,而是会被提供准确的证明和优先级,并包含如何以最小的努力解决问题的说明。将上下文分析应用于源代码(通过IDE)和二进制分析(通过JFrog Advanced Security)是最终的方法,它将带来安全的软件——只需最少的努力和可追溯的修复。二进制文件是软件开发的重心,也是JFrog平台的核心竞争力;根据上下文扫描它们是目前可以提供的最先进和最精简的扫描和修复路径。

cve的容器语境分析

2.公开的秘密

通常情况下,密钥和凭证保存在容器和其他形式的工件中。它们可以以令牌和密钥文件的形式出现,有时在二进制文件中硬编码(这显然是一种错误做法),有时在配置文件和其他文本文件中出现。JFrog高级安全的秘密检测可以追踪存在于JFrog Artifactory的任何容器中的秘密。与其他由于错误的启发式方法而产生大量假阳性的扫描器不同,我们的引擎寻找900多种特定类型的密钥和凭证,因此非常准确。此外,扫描器的结果不仅会指出秘密所在的位置,而且还会解释问题,这可能是秘密是如何被利用的,而不一定是关于它的特定属性(如加密、编码等)。由于机密很多时候并不存在于源代码中,因此以二进制形式扫描机密变得非常必要。通过识别这些秘密并根据系统的指示进行修复,可以防止或追踪任何内部令牌、密钥或凭证的意外泄漏。

公开的秘密

3.库和服务的不安全使用

传统上被现有应用程序安全解决方案忽略(并且相对容易被攻击者利用)的最常见问题之一是与如何软件包正在被使用,而不仅仅是什么正在使用(这是SCA工具的常见实践)。最先进的安全引擎将扫描常见OSS库(如Django和Flask)和服务(如Apache和Nginx)的配置和使用方式,并将识别使软件产品暴露于攻击的滥用或错误配置。扫描仪会考虑更广泛的容器环境,并将提出可采取的步骤,提供最快的补救途径。

4.Infrastructure-as-Code (IaC)

随着越来越多的组织及其开发人员采用IaC,基础设施被错误配置的风险越来越大,从而成为链条中的薄弱环节。因此,确保适当地保护IaC变得至关重要。在第一版中,IaC安全扫描器主要关注存储在JFrog Artifactory中的Terraform配置文件,用于早期检测可以利用的云和基础设施错误配置。为了符合JFrog的通用性方法,将很快添加更多的IaC类型以实现全面覆盖。

Infrastructure-as-Code (IaC)

新的JFrog x射线功能包括:

  • 增强的CVE数据和严重性评估:
    第一个理解关键的cve,并创建额外的漏洞洞察,使开发人员、DevOps和安全团队能够深入理解跨OSS和商业环境的问题。由专门的安全研究团队的手册、主动分析和增强的严重性评估驱动。
  • 增强的CVE修复数据:
    使用针对关键cve的增强补救数据驱动缓解策略,使开发人员、DevOps和安全团队能够更多地了解如何智能地缓解漏洞,通常只需要更改配置。提供易于遵循,一步一步的指示。
  • 恶意包检测:
    使用JFrog识别恶意包的独特数据库,发现并消除不需要的或意外的包。该数据库来源于我们的研究团队在公共存储库中识别的数千个包,以及来自全球来源的不断聚合的恶意包信息。了解更多关于我们如何自动识别这些包
  • 操作风险政策:
    易于处理风险,如包维护问题和技术债务。
  • 面向开发人员的特点:
    直接集成到最流行的ide, Docker桌面,通过CLI的漏洞扫描,以及一个Frogbot扫描器,用于在git存储库的拉请求中发现漏洞。
  • 的安全功能:
    使用开箱即用的soms使遵从性变得轻而易举,包括行业标准导出和新的安全UI屏幕,这些屏幕聚集了跨所有存储库的问题,以确保全面覆盖。

总结

JFrog x射线一起新JFrog高级安全特征形成世界上第一个以devops为中心的安全解决方案旨在控制和保护从代码到容器到生产的软件供应链。我们将先进的二进制安全分析引入DevOps工作流程,将开发人员、DevOps和安全团队联合起来,将无与伦比的漏洞和风险检测交付到统一的DevOps和安全平台中。

我们通过提供尖端的安全解决方案和业界领先的安全研究,减轻了当今安全和开发团队的压力水平和工作量。消除误报并提供易于实现的修复,为他们节省了时间和精力,加快了软件开发过程。结合上下文分析提供了可能威胁的整体图景,实现了持续安全的承诺。我们邀请您为自己试驾,看看高级安全的区别。

想了解JFrog高级安全吗?

注册到我们的JFrog x射线和高级安全网络研讨会在10月25日,我们将讨论最近的增强,深入研究它们的优点,并探索JFrog平台和高级安全特性的演示。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约一个演示