JFrog信任

证书项目

• JFrog SOC 2 Type II是否符合要求?

  是的，安永审计了JFrog的系统和组织控制，并发布了SOC2 II型报告(SOC2 Type II)，其中解释了为支持我们的运营和合规性而建立的控制。请阅读我们的证书课程//www.si-fil.com/trust/certificate-program/．
• JFrog是否符合ISO 27001标准?

  是的，JFrog通过了ISO 27001认证，这是信息安全管理的国际标准。请阅读我们的证书课程//www.si-fil.com/trust/certificate-program/．
• JFrog是否符合PCI DSS标准?

  是的，JFrog通过了PCI DSS 3.2, SAQ A认证，这是由支付卡行业安全标准委员会管理的行业标准。请阅读我们的证书课程//www.si-fil.com/trust/certificate-program/．

风险评估

• 您是否有正式的信息安全政策，每年至少审查一次，并由高级管理人员批准?

  所有政策每年都要经过JFrog管理层的审核和批准。
• 您是否执行组织范围的安全风险评估?

  是的，这是基于ISO 27001的方法进行的。

隐私

• JFrog是否有适用于相关服务的隐私政策?

  是的，请看，//www.si-fil.com/trust/privacy/
• 组织是否收集、处理或存储任何个人数据以执行相关服务?

  除了向客户提供服务和内部使用外，JFrog只能访问最少的个人信息。欲了解更多信息，请参阅我们的隐私政策//www.si-fil.com/trust/privacy/
• JFrog是否遵守CCPA?

  JFrog已采取最佳实践措施，以确保遵守加州消费者隐私法(CCPA)。
  
• JFrog是否遵守GDPR ?

  JFrog已采取最佳实践措施，以确保遵守欧盟的通用数据隐私条例(GDPR)。
  

App 保护

• 采取了哪些安全控制措施来保护JFrog基础设施和应用程序(例如IDS、web应用程序防火墙)?

  作为我们多层保护方法的一部分，我们已经建立了一个专门的DDoS缓解生态系统。JFrog采用反ddos保护、下一代WAF、API保护工具、高级速率限制和僵尸程序保护。
• JFrog是否证明要安装的应用程序版本已经通过了兼容的渗透测试过程的评估?

  为了完成我们的开发生命周期，我们的产品和特性在持续的基础上进行测试，内部由JFrog应hth华体会最新官方网站用程序安全团队进行测试，外部由第三方顶级专家进行测试。
• JFrog有没有使用网络工具来保护WAF，反DDoS?

  作为我们多层保护方法的一部分，我们已经建立了一个专门的DDoS缓解生态系统。JFrog采用反ddos保护、下一代WAF、API保护工具、高级速率限制和僵尸程序保护。
• JFrog如何解决其产品和交付给客户的Docker映像中的漏洞?hth华体会最新官方网站如何修复漏洞?JFrog如何管理它的补丁部署和频率?

  JFrog具有全面和自动化的漏洞管理、威胁优先级和补丁部署流程，以确保快速检测、处理和修复关键漏洞。为了执行安全风险分析，我们使用Xray作为内部DevSecOps流程的一部分，当Xray检测到我们管道中的安全漏洞时，我们可以自动失败构建。

账户安全

• 是否支持基于SAML 2.0的身份联合?

  JFrog平台提供基于saml的单点登录服务，允许联合的JFrog合作伙伴(身份提供者)完全控制授权过程。
• JFrog平台是否提供限制用户访问数据的控制?

  JFrog平台提供了一个灵活的权限模型，让管理员可以细粒度地控制用户和组如何访问不同的资源。2022世界杯阿根廷预选赛赛程从中心位置管理权限，您可以控制用户或组的访问权限。
• 如何保护诸如用户凭据、API令牌和加密密钥之类的秘密?

  客户敏感数据(如密码和API密钥)由应用程序加密。

可视性和监控

• 记录了哪些数据?

  JFrog平台为所有JFrog产品提供审计跟踪日志和标准化日志。hth华体会最新官方网站
  

• 支持应用程序的基础设施的部署模型是什么?

  JFrog的客户可以在谷歌云平台(GCP)、亚马逊网络服务(AWS)或微软Azure这三家主要云提供商中的任何一家上与Artifactory cloud共同定位所有云服务。
  JFrog为您的JFrog部署提供了一个多层架构，包括高可用性系统、备份等。
  JFrog还为希望将自我管理与云计算混合的客户提供混合解决方案。
• 贵组织是否维护一个公开可用的系统状态网页，其中包括计划维护、服务事件和事件历史?

  JFrog传达我们平台的状态及其事件https://status.jfrog.io/．

数据加密

• 在传输过程中如何保护数据?

  每个客户的数据在传输过程中使用HTTPS和TLS V1.2进行加密。
• 如果在托管环境中启用了加密，那么静态数据是如何受到保护的?

  所有静态托管数据都使用SHA-256加密安全地存储在共享数据库和对象存储中。
• 对于静态数据加密，如何管理加密密钥?

  我们所有的加密密钥都存储在云托管的密钥管理服务中，这使我们能够创建和管理加密密钥，并控制它们在各种服务和应用程序中的使用。它允许我们生成、使用、旋转和销毁加密密钥。

数据管理

• 如何在帐户停用和终止后安全地删除数据?

  商业客户帐户通常在当前订阅期结束后60天或30天后停用。如果客户没有联系我们的支持团队，我们将完全删除其数据。
  免费级帐户通常在21天后停用。7天后，其所有数据将从JFrog SaaS解决方案中删除。
  有关更多信息，请参阅EULA -第14.6节//www.si-fil.com/jfrog-cloud-general-terms/．
• 客户数据如何与其他租户的数据隔离(例如，单独的数据库，或通过应用程序逻辑或其他机制)?

  每个客户帐户都部署了一个唯一的ID，以保证充分的分离。
  
  根据最小特权原则，每个客户帐户被授予其自己的唯一且狭窄的角色。我们只授予执行任务和访问共享资源(如数据库和云对象存储)所需的权限。2022世界杯阿根廷预选赛赛程
  
  JFrog SaaS解决方案的默认自动部署是在共享环境中，包括以下资源:2022世界杯阿根廷预选赛赛程
  
  负载平衡器是区域级别的共享组件。
  应用程序的数据库模式和角色是为每个客户专用的。应用程序的数据库是云提供商管理的服务，在区域级别共享。
  每个客户都有自己独特的角色，对自己的文件具有权限。应用程序的文件存储是云提供商管理的服务，在区域级别共享。

• 如何检测异常?

  JFrog的网络事件响应团队(CIRT)在我们的内部SIEM(安全信息和事件管理)中持续监控我们的产品日志、基础设施运营和系统审计日志，以及hth华体会最新官方网站时有效地发现潜在事件。作为这项持续努力的一部分，CIRT团队调查并回应来自他们的漏洞赏金计划、漏洞披露计划、自动扫描仪、客户支持门户和安全电子邮件收件箱的报告。
• 贵公司是否有网络安全事件响应计划和流程来报告事件?

  是的。我们的网络安全事件响应团队遵循明确定义和详细的方法和程序来识别、控制、调查、报告和响应每种类型的事件。
• 组织是否维持全天候响应安全警报和事件?

  是的。为了确保快速有效的响应时间，我们的SOC(安全运营中心)配备了高素质和经验丰富的安全专家，他们致力于履行我们的内部SLA政策。
• 您如何持续评估和修复组织的网络漏洞?

  JFrog有一个程序，可以评估、监控和管理来自多个来源的漏洞，并根据我们的内部SLA解决它们。
  我们也有bug赏金和漏洞披露程序来帮助我们识别漏洞。问题由安全团队评估和调查，并根据其可能的影响和严重程度来解决。
  渗透测试有助于确保生产平台的整体安全状态至少每年由外部第三方执行一次，以及由内部安全团队执行一次。
  此外，安全扫描是持续执行的。

• 对于托管在公共云或托管设施上的应用程序:对基础设施的远程管理访问有哪些控制措施(例如，站点到站点VPN或多因素身份验证)?

  JFrog使用零信任解决方案，通过JFrog的内部网络安全地连接我们的员工，设备和应用程序。我们的零信任解决方案提供Web和URL过滤、沙箱、云防火墙、CASB和DLP。
  JFrog工程师使用先进的2FA和即时访问解决方案连接到我们的生产资源，这使我们能够2022世界杯阿根廷预选赛赛程采用最小特权原则并进行全面审计。
• 您使用哪些安全控制措施来防止您拥有和使用的域名上的欺骗或伪造电子邮件?

  JFrog.com使用SPF(发件人策略框架)和DMARC(基于域的消息认证，报告和一致性)电子邮件认证方法。JFrog使用电子邮件保护解决方案，旨在防止恶意软件，零日攻击，网络钓鱼，BEC(商业电子邮件泄露)，垃圾邮件和N-days。
• 描述您在组织中管理设备使用的策略和安全措施。

  是的，所有JFrog笔记本电脑都安装了MDM，并实施了加密策略以及高级反恶意软件。

• 是否为所有员工提供了组织信息安全政策和程序的培训?

  所有JFrog员工每年都必须接受强制性的网络安全和隐私意识培训，这也是入职培训的一部分。