JFrog安全研究
保护现代软件供应链的前沿安全研究
我们专门的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。
我们专门的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。
团队发现的最新漏洞
团队发现的最新漏洞
JFrog安全研究人员和工程师合作创建先进的漏洞扫描器,建立在对攻击者技术的深刻理解之上。
我们使用我们的自动扫描器来帮助社区,不断识别公开可用软件包中的新漏洞并披露它们。
团队最新披露的恶意包
团队最新披露的恶意包
由于在现代应用程序开发中广泛使用开源软件(OSS)包,公共OSS存储库已成为供应链攻击的流行目标。
为了帮助开发人员建立一个安全的环境,JFrog安全研究团队使用我们的自动化工具持续监控流行的存储库,并将发现的恶意包报告给存储库维护者和更广泛的社区。
-
captchaboypypi • 总下载量<1k发表在 2022年12月21日 -
xolojkzzfikmrvpypi • 总下载量<1k发表在 2022年12月21日
-
fastpep8pypi • 总下载量<1k发表在 2022年12月21日
-
py4syncpypi • 总下载量<1k发表在 2022年12月21日
-
ossesspypi • 总下载量<1k发表在 2022年12月21日
团队发布的最新安全OSS工具
团队发布的最新安全OSS工具
当新的软件安全威胁出现时,在许多情况下,响应时间是至关重要的。
JFrog安全研究团队为社区提供了一系列OSS工具,以快速识别软件中的此类威胁。
-
openssl_req_client_cert确定SSL服务器是否需要客户端身份验证,在这种情况下,基于OpenSSL 3.0.0..3.0.6的服务器将容易受到CVE-2022-3602和CVE-2022-3786的攻击发表在 2022年11月2日
-
scan_vulnerable_openssl_code查找带有静态链接的OpenSSL版本的二进制文件。具体来说,该工具区分了OpenSSL 3.0.0-3.0.6(易受攻击版本)和3.0.7(固定版本)。发表在 2022年11月2日
-
text_4_shell_patch在common -text jar中查找脆弱的ScriptStringLookup类,并禁用lookup()函数,有效地修补漏洞。该工具还可以修补(禁用)脆弱的DnsStringLookup和URLStringLookup功能发表在 2022年10月24日
-
scan_commons_text_versions递归地搜索StringLookupFactory的类代码(不管是否包含.jar文件名和pom.xml文件的内容),并尝试识别对象的版本,以报告包含的common -text版本是否容易受到攻击。发表在 10月18日
-
scan_commons_text_calls_jar在编译后的.jar文件中定位对易受攻击的TextShell函数的调用,并将结果报告为每个调用出现的类名和方法名。发表在 10月18日
来自JFrog安全博客的最新消息
JFrog的安全博客>
报告JFrog产品中发现的漏洞hth华体会最新官方网站
的安全和质量我们的代码是JFrog的首要任务。如果您在我们的产品中发现漏洞或任何其他类型的安全问题,请立即报告给我们。hth华体会最新官方网站安全研究人员可以参加漏洞赏金计划,并为他们的发现获得奖励。
