JFrog在2021年将安全提升到了新的高度

由于安全性现在是DevOps团队的关键“必备条件”,JFrog在2021年显著深化和扩展了我们平台已经坚实的安全能力。在这篇文章中,我们将回顾去年的主要进展,并展望2022年的进展。我们的目标是:向客户解释我们是如何提供服务的……

2022年趋势——Shlomi Ben Haim

DevOps 2022:利用软件供应链的5大岩石

与社区一起,JFrog开创了我们现在所知的DevOps,专注于二进制文件(也就是软件包、工件或映像)。十年前,没有人认为二元管理会成为一种东西——现在它是大多数公司不能没有的标准。那时,我们说软件的通用性是必要的,而且……

Log4j在野外

在野外捕获Log4j:发现,修复和加强

在许多组织中,广泛使用的Log4Shell开源软件存在一个长期存在的严重漏洞,这一令人惊讶的发现就像斯克鲁奇和格林奇联手进行了一次最大的假日抢劫。全球各地的事件响应团队已经忙着修复数千甚至数百万个应用程序。“对于网络罪犯来说……

Log4shell漏洞解释

Log4j Log4Shell 0-Day漏洞:所有你需要知道的

2021年12月9日星期四,阿里云安全团队的一名研究人员在推特上发布了一个零日远程代码执行漏洞,目标是非常流行的Java log4j日志框架(特别是2。x分支称为Log4j2)。该漏洞最初是由阿里巴巴云安全团队于11月24日发现并报告给Apache的。...

恶意的npm包在你的Discord令牌后- 17个新包被披露

JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意包。最近,我们在PyPI存储库中披露了11个恶意包,这一发现表明攻击的方法越来越复杂。...

Python恶意软件模仿签名PyPI流量的新泄露技术

JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,向存储库维护人员报告易受攻击和恶意的包。今年早些时候,我们披露了几个针对开发人员私人数据的恶意软件包,这些软件包被下载了大约3万次。今天,我们将分享11个新的恶意软件包的详细信息…

TensorFlow Python代码注入203x148

TensorFlow Python代码注入:更多的eval()问题

JFrog安全研究团队(前身为Vdoo)最近披露了TensorFlow附带的一个实用程序中的代码注入问题,TensorFlow是一个在行业中广泛使用的流行机器学习平台。文档版本号CVE-2021-41228。在我们之前的博客文章中阅读更多关于Yamale的类似披露。…

Unboxing BusyBox - Claroty和JFrog发现的14个新漏洞

具有有限内存和存储资源的嵌入式设备可能会利用BusyBox之类的工具,该工具被称为嵌入式Linux的瑞士军刀。2022世界杯阿根廷预选赛赛程BusyBox是一个由许多有用的Unix实用程序(称为applet)组成的软件套件,它们被打包为单个可执行文件。在BusyBox你可以找到…

Netty的解压器中的拒绝服务(DoS)

CVE-2021-37136 & CVE-2021-37137 - Netty的解压器中的拒绝服务(DoS)

JFrog安全研究团队最近披露了Netty中的两个拒绝服务问题(CVE-2021-37136, CVE-2021-37137), Netty是一个流行的客户端/服务器框架,可以快速轻松地开发协议服务器和客户端等网络应用程序。在这篇文章中,我们将详细说明其中一个问题- CVE-2021-37136。谁会真正受到影响?网状的……

别让普罗米修斯偷走你的火焰

别让普罗米修斯偷走你的火焰

Prometheus是一个开源的、基于度量的事件监控和警报解决方案,适用于云应用程序。它被近800家云原生组织使用,包括Uber、Slack、Robinhood等。通过从各个端点获取实时指标,Prometheus除了可以观察硬件和软件指标(如内存)之外,还可以轻松观察系统状态。