JFrog安全研究

保护现代软件供应链的前沿安全研究

我们专门的安全工程师和研究人员团队致力于通过发现、分析和暴露新的漏洞和攻击方法来提高软件安全性。

软件漏洞

团队发现的最新漏洞

JFrog安全研究人员和工程师合作创建先进的漏洞扫描器,建立在对攻击者技术的深刻理解之上。

我们使用我们的自动扫描器来帮助社区,不断识别公开可用软件包中的新漏洞并披露它们。

恶意包

团队最新披露的恶意包

由于在现代应用程序开发中广泛使用开源软件(OSS)包,公共OSS存储库已成为供应链攻击的流行目标。

为了帮助开发人员建立一个安全的环境,JFrog安全研究团队使用我们的自动化工具持续监控流行的存储库,并将发现的恶意包报告给存储库维护者和更广泛的社区。

  • 推特
    captchaboy
    pypi 总下载量<1k
    发表在 2022年12月21日
  • 推特
    xolojkzzfikmrv
    pypi 总下载量<1k
    发表在 2022年12月21日
  • 推特
    fastpep8
    pypi 总下载量<1k
    发表在 2022年12月21日
  • 推特
    py4sync
    pypi 总下载量<1k
    发表在 2022年12月21日
  • 推特
    ossess
    pypi 总下载量<1k
    发表在 2022年12月21日
开源软件工具

团队发布的最新安全OSS工具

当新的软件安全威胁出现时,在许多情况下,响应时间是至关重要的。
JFrog安全研究团队为社区提供了一系列OSS工具,以快速识别软件中的此类威胁。

  • openssl_req_client_cert
    确定SSL服务器是否需要客户端身份验证,在这种情况下,基于OpenSSL 3.0.0..3.0.6的服务器将容易受到CVE-2022-3602和CVE-2022-3786的攻击
    发表在 2022年11月2日
  • scan_vulnerable_openssl_code
    查找带有静态链接的OpenSSL版本的二进制文件。具体来说,该工具区分了OpenSSL 3.0.0-3.0.6(易受攻击版本)和3.0.7(固定版本)。
    发表在 2022年11月2日
  • text_4_shell_patch
    在common -text jar中查找脆弱的ScriptStringLookup类,并禁用lookup()函数,有效地修补漏洞。该工具还可以修补(禁用)脆弱的DnsStringLookup和URLStringLookup功能
    发表在 2022年10月24日
  • scan_commons_text_versions
    递归地搜索StringLookupFactory的类代码(不管是否包含.jar文件名和pom.xml文件的内容),并尝试识别对象的版本,以报告包含的common -text版本是否容易受到攻击。
    发表在 10月18日
  • scan_commons_text_calls_jar
    在编译后的.jar文件中定位对易受攻击的TextShell函数的调用,并将结果报告为每个调用出现的类名和方法名。
    发表在 10月18日
JFrog检测边缘

JFrog检测边缘

JFrog安全研究团队是JFrog x射线背后的团队的一部分,增强其独特的漏洞数据库,并利用专利技术快速检测开源和专有代码中的未知安全问题。

JFrog检测边缘

报告JFrog产品中发现的漏洞hth华体会最新官方网站

安全和质量我们的代码是JFrog的首要任务。如果您在我们的产品中发现漏洞或任何其他类型的安全问题,请立即报告给我们。hth华体会最新官方网站安全研究人员可以参加漏洞赏金计划,并为他们的发现获得奖励。

了解有关如何报告漏洞>的详细信息

由www.si-fil.com提供