博客家

以devops为中心的安全性终于在这里|宣布JFrog高级安全性

世界上第一个基于现代DevOps工作流设计的安全解决方案

通过纳提·达维迪,JFrog安全公司高级副总裁

13分钟阅读

宣布JFrog高级安全

今天对JFrog来说是激动人心的一天,也是确保端到端软件供应链安全的重要一步。JFrog高级安全是我们实现以DevOps为中心的安全的独特方法,也是专为当今现代DevOps工作流构建的唯一解决方案。

开发人员和DevOps基础设施现在是当今黑客和坏人的攻击载体。无数的工具和过程,更不用说大量的开源库和二进制文件了,所有这些都为软件供应链中意外和恶意的风险注入带来了机会。作为软件供应链(SSC)的所有者,DevOps团队已经成为组织中事实上的“安全所有者”。与此同时,安全团队正试图平衡多个工具、配置、报告等(所有这些都需要开发团队的资源),并对遵从性和业务需求负责。2022世界杯阿根廷预选赛赛程

目前,没有任何解决方案能够充分地连接这些团队或提供统一的数据和见解,从而有效地使安全团队成为开发组织的监工,这些开发组织正在被不是其核心能力的请求、流程和法规所淹没。此外,团队经常受到无数点解决方案的阻碍,这些解决方案需要集成技术、报告和聚合,当然还有手工分析和评估,以及提供不集中的不同上下文和补救建议。

我们需要一种不同的、全面的方法来应对软件供应链安全威胁的新时代。

DevOps的安全性

JFrog是端到端二进制管理的先驱,这是其液态软件愿景背后的核心技术。继续向软件管理从开发到生产的完全支持的自然(但实质性)演进演进,安全性成为这一演进的关键组件和关键促成因素。

促成这一演变的关键因素有很多,包括:

  • JFrog独特的位置作为开发人员、生产和安全角色之间的桥梁,作为其核心实现治理和控制供应链的平台。
  • 最近发生的一系列重大安全事件Log4ShellSpring4ShellSolarWinds等等,增加了整个软件供应链对安全性的需求,而不仅仅是从专注于源代码分析的左移安全方法。
  • 新的安全要求和法规这些命令几乎每周都在起草,对企业和政府机构都有影响,包括从2021年5月开始的总统命令H.R. 7900法案,白宫管理和预算办公室(OMB)备忘录通过安全的软件开发实践提高软件供应链的安全性。甚至在最近,我们看到新的软件供应链指导来自英国国家网络安全中心以及欧盟的额外倡议。

最重要的是,JFrog独特的二进制级方法提供了源代码之外的洞察力,从而真正理解了软件中真实的安全风险和所谓的安全风险。

开发人员DevOps安全

安全来自真理的单一来源

全球数以百万计的开发人员和数千家公司,包括财富100强中的大多数公司,已经依赖于JFrog解决方案来安全管理他们的关键任务软件供应链。JFrog平台是他们管理关键软件资产(即二进制文件)的集中式、单一的真实来源。想要提供真正的端到端安全解决方案的安全供应商完全依赖于对这些资产的访问。毕竟,如果不控制中间,就没有左移或右移。

“左移”的方法是不够的
源代码玩家(如SCA工具和典型的AST - SAST、DAST、fuzzer等)明白,源代码分析不足以真正分析上下文。上下文理解只能通过查看软件二进制代码来实现,它比单独的代码包含更多的信息。容器、存档、甚至简单的EPM文件都提供了软件开发过程的一幅图片。由于二进制文件是交付给客户的最终资产,它当然是当今攻击者的目标。如果没有这些关键信息,就不可能提供上下文理解来确定风险。当关注点仅仅集中在开发人员的IDE上时,已经确定的问题就不能以高效、优先的方式全面地确定、补救、缓解或修复。安全性需要从代码、编译代码、图像、构建、发布到运行时进行整体处理,这样才能做到全面。

为运行时安全性右移是不够的
专注于运行时和生产的企业安全解决方案(如云安全和容器安全)正在稍微向左移动,但还没有源代码纯参与者那么远。为了通过DevOps流程将产品的发现反馈给开发人员,他们会在自己需要的范围内进行操作。

对源代码和二进制文件的可见性是供应链解决方案的要求。如果一个产品不能在二进制级别上看到供应链的中心,从而提供由内而外的可见性,那么它将不会也不可能提供全面的安全性。

通过收购Vdoo, JFrog大大加快了其构建和提供专门为DevOps设计的安全解决方案的安全之旅。二进制分析功能Vdoo带来的-再加上JFrog平台为DevOps提供的集中式“真相来源”,实现了真正的端到端安全和控制。它提供了统一而有效的体验,极大地降低了开发人员、DevOps工程师和安全负责人的开销。

去年一整年,JFrog x光和Xray数据库得到了显著的增强和改进,将Xray转换为企业级的领先产品,涵盖了通过IDE用例的左移和深度二进制级分析。今天,随着JFrog Advanced Security的发布,JFrog的安全产品实现了巨大的飞跃,成为了一个全面的安全解决方案,旨在注入到您的DevOps工作流程中。JFrog高级安全-它增强了Xray更多的创新功能-解决了现代供应链威胁,与JFrog Artifactory一起工作,作为二进制文件的单一控制源,所有这些都在一个平台上。

介绍JFrog高级安全

JFrog高级安全增强x射线与许多新功能,所有这些都与供应链威胁有关。为了提供这个新的安全层,我们首先大幅增强了JFrog Xray,以包括JFrog安全研究团队关于CVE和恶意软件包的专有数据,以及添加到数据库中的CVE文章中的细粒度补救和缓解说明。显著的资源投入使2022世界杯阿根廷预选赛赛程JFrog Xray数据在cve和许可证更可靠,增强JFrog Xray的可扩展性和显著减少数据更新延迟。还添加了“操作风险”策略功能,以根据维护人员数量、维护节奏等软属性决定包阻塞。

JFrog x射线的核心技术方法是基于高效和准确索引包元数据的。JFrog高级安全增加了一种深入二进制的新方法扫描查看无法通过包管理器、SBOM或典型元数据访问的数据。因此,它允许对所分析的二进制文件的安全状态有一个全新的理解,特别是涉及到容器时。指定的扫描器允许识别在大多数情况下无法通过源代码分析发现的安全问题。使用这种深度扫描将首次实现以上下文方式对安全问题的全面理解——不仅可以识别对其他人来说是盲点的问题,还可以了解它们对生产的潜在影响。这要归功于与源代码分析相比,他们对软件的更广泛的看法。

介绍JFrog高级安全

作为JFrog高级安全的一部分,现在可以使用的新功能:

1.cve的容器上下文分析

我们从开发人员那里收集到的关于SCA工具的最常见的信息之一是,它们生成了太多的结果,要求他们修复许多实际上不会带来任何风险的漏洞。我们还了解到,由于缺乏背景,这些结果没有得到有效或不正确的优先级。传统的CVSS评分方法造成了更多的复杂性,因为他们没有考虑到特定的配置,安全机制和被分析软件的其他属性。

JFrog Advanced Security为容器引入了一种史无前例的功能:通过深入分析容器及其特定内容和属性,检查已识别的cve的适用性。例如,它将检查第一方代码是否调用与特定CVE关联的脆弱包中的脆弱函数。它还将扫描额外的配置和文件属性,以判断是否满足使用CVE的先决条件。在新的供应链安全法规时代,例如要求0 cve的7900法案会影响产品的安全性或者缓解的替代方案语境分析成为不影响交付时间和确保软件产品安全性的唯一方法。背景分析还建议具体、可行和具有成本效益的补救步骤,其中考虑到容器的特定属性和配置,并建议具有成本效益的缓解措施。这是第一次,开发者不会被要求“简单地解决所有问题”,而是会被提供准确的证据和优先级,并包含如何以最小的努力解决问题的说明。应用上下文分析源代码(通过IDE)和二进制分析通过JFrog Advanced Security是最终的方法,将导致安全的软件-以最小的努力和回顾性修复。二进制文件是软件开发的重心,也是JFrog平台的核心竞争力;在上下文中扫描它们是目前所能提供的最先进和最精简的扫描和修复路径。

cve的容器上下文分析

2.公开的秘密

通常,密钥和凭证保存在容器和其他形式的构件中。它们可以作为令牌和密钥文件出现,有时硬编码在二进制文件中(这显然是一种弊端),有时在配置文件和其他文本文件中。JFrog高级安全的秘密检测可以追踪存在于JFrog Artifactory存储的任何容器中的秘密。与其他由于错误的启发式方法而产生大量假阳性的扫描器不同,我们的引擎寻找900+特定类型的密钥和凭证,因此非常准确。此外,扫描器结果不仅会指出秘密所在的位置,而且还会解释问题,可能是秘密是如何被利用的,而不一定是关于它的特定属性(如加密、编码等)。由于秘密很多时候并不存在于源代码中,因此以二进制形式扫描它们就变得必不可少。通过识别这些秘密并根据系统的指示进行修复,可以防止或追踪任何内部令牌、密钥或凭证的意外泄漏。

公开的秘密

3.不安全地使用库和服务

传统上被现有应用程序安全解决方案忽略的最常见问题之一(并且相对容易被攻击者利用)是与如何软件包正在被使用,而且不仅仅是什么正在使用(这是SCA工具的常见实践)。尖端安全引擎将扫描常见OSS库(如Django和Flask)和服务(如Apache和Nginx)的配置和使用方式,并将识别使软件产品暴露于攻击的误用或错误配置。扫描仪会考虑到更广泛的容器环境,并将建议可操作的步骤,以提供最快的补救途径。

4.Infrastructure-as-Code (IaC)

随着越来越多的组织及其开发人员采用IaC,基础设施被错误配置并成为链中薄弱环节的风险也在增加。因此,确保IaC的安全变得至关重要。在第一版中,IaC安全扫描器主要关注存储在JFrog Artifactory中的Terraform配置文件,用于早期检测可能被利用的云和基础设施错误配置。为了符合JFrog的通用方法,将很快添加更多的IaC类型,以实现全面覆盖。

Infrastructure-as-Code (IaC)

新的JFrog x射线功能包括:

  • 增强的CVE数据和严重性评估:
    第一个了解关键的cve,并创建额外的漏洞洞察,使开发人员、DevOps和安全团队能够深入理解跨OSS和商业环境的问题。由专门的安全研究团队的手册、主动分析和增强的严重性评估驱动。
  • 增强的CVE修复数据:
    为关键cve使用增强的补救数据驱动缓解策略,使开发人员、DevOps和安全团队能够更多地了解如何智能地缓解漏洞,通常只需要更改配置。提供易于遵循,一步一步的指示。
  • 恶意包检测:
    发现和消除不需要的或意外的包,使用JFrog的识别恶意包的独特数据库。该数据库来源于我们的研究团队在公共存储库中识别的数千个包,以及来自全球来源的持续聚合的恶意包信息。了解更多我们如何自动识别这些包
  • 操作风险政策:
    易于处理风险,如包维护问题和技术债务。
  • 面向开发人员的特点:
    直接集成到最流行的ide, Docker桌面,通过CLI进行漏洞扫描,以及一个Frogbot扫描仪,用于在git存储库中的pull请求时发现漏洞。
  • 的安全功能:
    使用soms使遵从性变得轻而易举,包括行业标准导出和新的安全UI屏幕,这些屏幕聚集了所有存储库中的问题,以确保全面的覆盖。

总结

JFrog x射线一起新JFrog高级安全特征形成全球首个以devops为中心的安全解决方案旨在控制和保护从代码到容器到生产的软件供应链。我们将高级二进制安全分析引入DevOps工作流程,将开发人员、DevOps和安全团队联合起来,并将无与伦比的漏洞和风险检测交付到统一的DevOps和安全平台中。

我们通过提供尖端的安全解决方案和行业领先的安全研究,减轻当今安全和开发团队的压力水平和工作量。消除误报并提供易于实现的修复,节省了他们的时间和精力,加快了软件开发过程。上下文分析的结合提供了可能威胁的整体图景,实现了持续安全的承诺。我们邀请您亲自试驾,看看高级安全的不同之处。

想了解JFrog高级安全吗?

注册至我们的JFrog x射线和高级安全演示每个月,我们将讨论最近的增强,深入研究它们的优势,并探索JFrog平台和高级安全功能的演示。

开始免费试用

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示