博客家

DevOpsを中心としたセキュリティがついに登場| JFrog先进安全を発表

通过纳提·戴维迪,JFrog安全公司高级副总裁

14分钟阅读

宣布JFrog高级安全

本日は,エンドツーエンドのソフトウェアサプライチェーンセキュリティの確保に向けて大きく前進した,JFrogにとってとてもエキサイティングな一日です。JFrog高级安全は,DevOpsを中心としたセキュリティのための当社独自のアプローチであり,最新のDevOpsワークフローのために特別に設計された唯一のソリューションです。

開発者とそのDevOpsインフラは,現在ハッカーや悪意のある攻撃者から攻撃の標的とされています。膨大な量のオープンソースライブラリやバイナリはもちろんのこと,無数のツールやプロセスがソフトウェアサプライチェーン全体に偶発的または悪意をもってリスクを注入する機会を与えています。ソフトウェアサプライチェーン(SSC)の所有者であるDevOpsチームは,組織における事実上の”セキュリティの管理者”となっています。同時に,セキュリティチームは,開発チームが必要とするリソースである複数のツール,設定,レポートなどのバランスを取りつつ,コンプライアンスとビジネス要件における責任も求められています。

現在,これらのグループの橋渡しや,統一されたデータとインサイトを提供するソリューションはなく,開発組織におけるセキュリティチームは,自分たちの主な職務を超える要求,プロセス,規制に圧倒される,事実上のタスクマスターになっています。さらに,テクノロジー,レポート,集計,そしてもちろんマニュアルの分析と評価を必要とする無数のポイントソリューションに阻まれる中で,一元化されていないコンテキストと修正アドバイスを提供せざるを得ないという状況が増えてきています。

ソフトウェアサプライチェーンのセキュリティの脅威の新時代に向けて,これまでとは異なる総合的なアプローチが必要となっています。

DevOps

JFrogは,エンドツーエンドのバイナリ管理のパイオニアであり,それは水が流れるようにソフトウェアを継続的にアップデートする”リキッドソフトウェア”というビジョンを支える中核技術です。開発から本番環境で実行されるまでの完全なるソフトウェア管理を可能にするため,自然かつ実質的な進化を続ける中で,セキュリティは重要な要素となり,重要な実現方法となってきました。

  • 開発者,本番環境運用担当,セキュリティ担当をつなぐ架け橋としての,また,その中核でサプライチェーンの統治と制御を可能にするプラットフォームとしてのJFrog,
  • Log4ShellSpring4ShellSolarWindsなどのソフトウェアのサプライチェーン全体にわたるセキュリティの必要性を高める全英文,全英文,全英文
  • 2021年(5个月h.r.7900ホワイトハウス管理予算局(OMB)の覚書“安全なソフトウェア開発手法によるソフトウェアサプライチェーンのセキュリティ強化”など,毎週のように作成される【中文译文。中文:ソフトウェアサプライチェーンの指針

とりわけ,JFrogのユニークなバイナリレベルのアプローチは,ソースコードを超えた洞察を提供し,ソフトウェアにおける実際のセキュリティリスクと疑わしいセキュリティリスクを真に理解することを可能にします。

开发人员开发运维安全

【中文翻译

财富100强の大半を含む世界中の何百万人もの開発者と何千もの企業が,ミッションクリティカルなソフトウェアのサプライチェーンを安全に管理するために,すでにJFrogのソリューションを利用しています。JFrogプラットフォームは,重要なソフトウェア資産であるバイナリを管理するための一元的で信頼できる唯一のの情報源となります。真のエンドツーエンドのセキュリティソリューションを提供しようとするセキュリティベンダーは,これらのソフトウェア資産へのアクセスに完全に依存しています。結局のところ,中央をコントロールすることなしにシフトレフトすることもシフトライトすることもできないのです。


ソースコードのプレイヤー(SCAツールや典型的なアプリケーションテストである科协,DAST,ファズテストを実行するツールなど)は,ソースコード解析だけでは本当の意味でコンテキストを分析することはできないと理解しています。コンテキストを理解するには,コードだけよりもはるかに多くの情報を含むソフトウェアバイナリを確認することによってのみ実現できます。コンテナ,アーカイブ,単純なEPMファイルでさえも,すべてソフトウェアがどう言った姿なのかを示します。バイナリは顧客に提供される最終的な形式であるため,当然ながら昨今の攻撃者はバイナリをターゲットにしています。。開発者のIDEにのみ焦点を当てた場合、特定された問題を効率的かつ優先的に特定、改善、緩和、修正することはできません。セキュリティは、コードから、コンパイルされたコード、イメージ、ビルド、リリース、そしてランタイムまで、包括的に取り扱う必要があります。

ランタイムセキュリティのためにシフトライトするだけでは十分ではありません
ランタイムとプロダクションに焦点を当てたエンタープライズ・セキュリティ・ソリューション(クラウドセキュリティやコンテナセキュリティなど)は,少し”レフト”に寄っていますが,ソースのピュアプレイヤーほどではありません。彼らは,DevOpsプロセスを通じて,本番環境での発見を開発者にフィードバックするために,必要な範囲でそれを行っているだけです。

。もし製品のサプライチェーンの中心部がバイナリレベルで見れない場合,その内部の可視性を提供することはできませんし,結果として,包括的なセキュリティを提供することもできません。

Vdooの買収後,JFrogはDevOpsのために設計されたセキュリティソリューションを構築し提供するためにセキュリティへの取り組みを劇的に加速させました。哇!哇!哇バイナリ分析機能は,JFrogのプラットフォームがDevOpsに提供する一元化された“信頼できる情報源”と相まって,真のエンドツーエンドのセキュリティとそのコントロールを可能にします。これにより,開発者,DevOpsエンジニア,セキュリティリーダーのオーバーヘッドを劇的に削減する,統合された効果的なエクスペリエンスが実現します。

【中文】:JFrog x光★★★★★★★★★★★★★★それにより,IDEを介したシフトレフトと深いバイナリレベルの分析の両方をカバーする,エンタープライズ向けの主要製品に生まれ変わりました。この度のJFrog先进安全の提供開始により,JFrogのセキュリティ製品は飛躍的に進歩し,DevOpsワークフローに組み込めるように設計された総合的なセキュリティソリューションとなりました。JFrog高级安全は、Xrayをこれまで以上に多くの革新的な機能で強化し、JFrog Artifactoryと連携して現代のサプライチェーンの脅威に対応し、バイナリを単一のプラットフォームで管理することを可能にします。

JFrog高级安全系统

JFrog高级安全,英文怎么说x射线。この新しいセキュリティ群を提供するために,まずJFrog x光を大幅に強化し,CVEと悪意のあるパッケージに関する小青蛙,小青蛙,小青蛙チーム独自のデータ,さらにデータベース内のCVE項目に追加された詳細な修正と緩和の指示を取り込むようにしました。CVEとライセンスに関するJFrog x光のデータの信頼性を高め,JFrog x光のスケーラビリティを強化し,データ更新の待ち時間を大幅に短縮することに注力しました。さらに”運用リスク”ポリシー機能が追加され,メンテナンスの数,メンテナンスの頻度などのソフト属性に基づいたパッケージブロックの決定が可能になりました。

JFrog x光のコアテクノロジーのアプローチは,パッケージのメタデータの正確で効率的なインデックス作成に基づくものです。JFrog高级安全は、パッケージマネージャやSBOM、典型的なメタデータではアクセスできないデータを調べるために、バイナリを深くスキャンするという新しいアプローチを追加しました。これにより、特にコンテナに関しては、分析されたバイナリのセキュリティ状態を新しく理解することができます。指定されたスキャナを使用すると、ほとんどの場合、ソースコード解析では発見できないセキュリティ問題を特定することができます。このような掘り下げたスキャンを使用することで、初めてセキュリティ問題をコンテキストに沿って包括的に理解できるようになります。つまり、盲点となっている問題を特定するだけでなく、本番環境に与える潜在的な影響も理解できるようになります。これは、ソースコード解析だけと比較した場合、ソフトウェアに対するより広い視野を持っているためです。

介绍JFrog高级安全

JFrog高级安全系统。

1.我的意思是,我的意思是我的意思是我的意思

SCAツールに関して開発者から寄せられたよくある意見の1つに,あまりにも多くの結果を生成するため,実際には何のリスクもない多くの脆弱性を修正する必要があるというものがありました。また,これらの結果は,コンテキストがないため,非効率的または誤った優先順位を付けられていることも分かりました。従来のCVSSスコアリング手法は,分析対象ソフトウェアの特定の構成,セキュリティメカニズム,その他の属性を考慮しないため,さらに複雑なものとなっています。

JFrog高级安全は、コンテナおよびその特定のコンテンツと属性を深く分析することにより、特定されたCVEが明らかになった場合にその影響を受ける可能性を調べるという、コンテナに対する初の機能を導入しています。例えば、自チームで開発したコードが、特定のCVEに関連する脆弱なパッケージ内の脆弱な関数を呼び出しているかどうかをチェックします。また、追加の設定やファイルの属性をスキャンして、CVEを悪用するための前提条件が満たされているかどうかを判断します。製品のセキュリティに影響を与えるCVEを0個にすることや、緩和策の代替案を求める米国のH.R.7900法案のような新しいサプライチェーンに対するセキュリティ規制が行われる時代には、コンテキスト分析は納期に影響を与えず、ソフトウェア製品のセキュリティを確保する唯一の方法となります。また、コンテキスト分析は、コンテナの特定の属性と構成を考慮し、具体的で実行可能かつ費用対効果の高い改善策を推奨します。開発者は初めて、「単にすべてを修正する」ことを求められるのではなく、正確で、最小限の労力で問題を修正する方法の指示を含む証明と優先順位が提供されるようになるのです。ソースコード(IDE経由)とJFrog Advanced Securityによるバイナリ解析の両方にコンテキスト分析を適用することは、最小限の労力と後戻りしない修正で、安全なソフトウェアにつながる究極のアプローチと言えます。バイナリはソフトウェア開発の中心であり、JFrogプラットフォームのコアコンピタンスです。バイナリをコンテキストに沿ってスキャンすることは、今日提供できる最も高度で合理的なスキャンと修正のパスです。

cve的容器上下文分析

2.这是我的最爱

一般的に,認証情報として使用されるキーやクレデンシャルはコンテナやバイナリなどの成果物に保管されています。それらは,トークンやキーファイルとして現れることもあれば,バイナリにハードコードされていることもあり(これは明らかに問題とみなされます),設定やその他のテキストファイルの中にあることもあります。JFrog高级安全のSecrets Detectionは、JFrog Artifactoryに格納されているあらゆるコンテナに存在する認証情報を追跡することができます。間違ったヒューリスティックなアプローチによって大量の偽陽性を発生させる他のスキャナーとは異なり、当社のエンジンは900以上の特定のタイプのキーとクレデンシャルを探すため、非常に正確です。また、スキャナーの結果は、認証情報がどこに存在するかを指摘するだけでなく、認証情報がどのように利用されているか、必ずしもその特定の属性(暗号化、エンコーディングなど)についての問題でない可能性があることを説明します。多くの場合、認証情報はソースコードに存在しないため、バイナリ形式でスキャンすることが不可欠となります。これらの秘密を特定し、システムの指示に従って修正することで、内部トークン、キー、認証情報の偶発的な漏洩を防止または追跡することができます。

公开的秘密

3.ライブラリやサービスの安全でない使用

既存のアプリケーションセキュリティソリューションが従来無視してきた最も一般的な問題の1つに,一般的にSCAツールが検知する”何が”使われているかに加えて,パッケージが”どのように”使われているかを見ていないという点が挙げられます。。最先端のセキュリティエンジンは,一般的なOSSライブラリ(Djangoや瓶など)やサービス(ApacheやNginxなど)の設定や使用方法をスキャンし,ソフトウェアを攻撃にさらす誤用や設定ミスを特定します。スキャナは,コンテナのより広いコンテキストを考慮し,修正への最短経路を提供する実用的なステップを提案します。

4.Infrastructure-as-Code (IaC)

IaCを採用する組織や開発者が増えるにつれ,インフラの設定に誤りが生じ,構成の弱点になるリスクが高まっています。。これに対応する第1弾として,IaCセキュリティスキャナは,JFrog Artifactoryに保存されている起程拓殖の設定ファイルに焦点を当て,悪用可能なクラウドとインフラの誤設定を早期に検出します。JFrogの普遍性アプローチに準拠し,完全なカバレッジを可能にするため,より多くのIaCタイプが間もなく追加される予定です。

Infrastructure-as-Code (IaC)

JFrog x光机

  • 中文:中文:中文:
    重要なCVEを最初に理解し,追加される脆弱性に対するインサイトを作成して,開発者,DevOps,セキュリティチームがOSSおよび商用環境全体で問題を深く理解できるようにします。専門のセキュリティリサーチチームによる手動で行われるプロアクティブな分析,および強化された重大度評価が随時提供されます。
  • ★★★★★★★
    開発者,DevOpsセキュリティチームは,設定を変更するだけで脆弱性を効果的に緩和する方法について理解を深めることが可能です。草皮草皮草皮草皮草皮草皮草皮草皮草皮草皮。
  • 悪意あるパッケージの検出:
    JFrogが独自に特定した悪意のあるパッケージのデータベースを使用することにより,不要なパッケージや予期しないパッケージを発見し,排除します。このデータベースは,グローバルな情報源から継続的に収集される悪意のあるパッケージ情報とともに,共通のリポジトリで当社のリサーチチームによって識別された何千ものパッケージが情報源となっています。パッケージを自動的に特定する方法については> >
  • :
  • 【中文译文】
    最も一般的なIDE,码头工人桌面,CLIによる脆弱性スキャン,gitリポジトリのプルリクエスト時に脆弱性を発見するFrogbotスキャナに直接統合することができます。
  • 【翻译】
    業界標準のエクスポートや,すべてのリポジトリの課題を集約して包括的にカバーする新しいセキュリティUI画面など,実装後すぐにSBOMを活用して簡単にコンプライアンスを実現することができます。

∕∕∕

JFrog x光は,新しいJFrog先进安全の機能とともに,コードからコンテナ,さらに本番環境までのソフトウェアサプライチェーンを制御・保護するために設計された世界初のDevOps中心のセキュリティソリューションを形成しています。JFrogは,高度なバイナリセキュリティ分析をDevOpsワークフローに導入し,開発者,DevOps,セキュリティチームを統合し,比類のない脆弱性とリスクの検出を統合DevOpsおよびセキュリティプラットフォームで実現します。

業界最先端のセキュリティ研究を駆使した最先端のセキュリティソリューションを提供することによって,今日のセキュリティチームや開発チームのストレスレベルやワークロード負荷を軽減します。誤検知を排除し,簡単に実装できる修正プログラムを提供することで,時間と労力を節約し,ソフトウェア開発プロセスをスピードアップさせます。また,コンテキスト分析により,想定される脅威を全体的に把握することができ,継続的なセキュリティの確保を実現します。ぜひ,ご自身でテスト利用いただき,JFrog先进安全の違いをご確認ください。

JFrog高级安全://www.si-fil.com/ja/advanced-security/

受欢迎的标签