为您的DevSecOps锦上添花——JFrog Xray的新功能

一、背景

当前,随着比较常用的组件,如Tomcat、Docker、Kubernetes等陆续曝出存在高危漏洞,组件安全已成为业界日益关注的安全扫描新的重要分支。必须在DevOps流程中加强针对组件的安全扫描,这也是当前业界推荐的DevSecOps的重要组成部分。

JFrog Xray作为屡获殊荣的通用软件组成分析(SCA)解决方案,已得到全球开发人员和DevSecOps团队的信任,可以快速、连续地确定开源软件的安全漏洞和违反许可证合规性的行为。 

JFrog持续努力,不断开发和创新,以为我们的客户提供更好的端到端DevSecOps体验。本文详细介绍了近期我们在JFrog Xray中添加的新功能,以帮助客户保持其准时发布的效率、质量,和安全性。

二、支持Conan包及C/C++的漏洞扫描

JFrog Xray最新支持扫描部署到JFrog Artifactory的Conan软件包以及C/C++应用构建。Conan是C/C++语言的依赖和程序包管理器,是开源的解决方案,可在所有OS平台上使用。它与所有构建系统(如CMake和Visual Studio等),以及专有系统集成在一起。Conan强大的功能是可以为任何平台和配置创建和管理预编译的二进制文件。

Xray支持以下四种Conan和C/C++构建扫描的主要场景:

[if !supportLists]· [endif]Xray扫描从ConanCenter下载到Artifactory的软件包

[if !supportLists]· [endif]Xray扫描基于Conan构建并已上传到Artifactory的程序包

[if !supportLists]· [endif]如果您正在构建Conan软件包并将Xray集成到CI流程中,则Xray将扫描那些Conan的构建

[if !supportLists]· [endif]即使您不使用Conan,Xray也会扫描您的C++构建

三、支持CVSS v3版本

为了在DevOps上取得成功,您选择的解决方案必须使您能够很好地完成一系列关键任务。让我们对比研究一下GitHub和JFrog,看看它们是否能够很好地完成您招聘所需完成的工作。

通用漏洞评分系统(CVSS)是一个开放的行业标准,用于评估软件安全漏洞的严重性。评分算法使用几种指标来分配和标记安全漏洞的严重性评分,而这些指标旨在逼近这些安全漏洞被利用的容易程度和威胁级别。Xray从两个不同的来源收集评分和严重性:

[if !supportLists]· [endif]NVD:美国国家漏洞数据库,包含已知漏洞及其各自的CVSS分数;

[if !supportLists]· [endif]OS软件包安全咨询:某些开源操作系统具有自己的安全跟踪系统,可以进一步分析操作系统软件包中的漏洞。 

CVSS评分的分数范围和严重程度

评分的目的是允许您根据威胁的级别确定响应和资源的优先级。分数的范围是0到10,其中最高的是10。CVSS v3还提供了严重性描述,如下所示:

[if !supportLists]· [endif]危急(Critical)

[if !supportLists]· [endif]高级(High)

[if !supportLists]· [endif]中级(Medium)

[if !supportLists]· [endif]低级(Low)

[if !supportLists]· [endif]未知(Unkown)

在Xray中设置的安全规则是根据CVSS v3得分或严重性级别(用于触发违规)来衡量的。Xray将继续支持CVSS v2评分,但仅在CVSS v3评分不可用时才使用它。 

四、红帽安全扫描认证

JFrog Xray已通过Red Hat认证,成为其Red Hat Partner Vulnerability Scanner认证计划中的合作伙伴。通过认证可确保JFrog Xray识别的安全漏洞和许可证合规性数据准确,且与Red Hat软件包的预期结果一致,从而能够基于可信任的、经过认证的来源进行准确的风险评估。这意味着使用RPM软件包的企业可以放心地将JFrog平台用作其DevSecOps平台。 

除了Xray的漏洞扫描程序认证外,JFrog平台还通过了以下认证:

[if !supportLists]· [endif]红帽认证的OpenShift操作员(用于JFrog Artifactory和JFrog Xray)可增强客户的安装和自动化;

[if !supportLists]· [endif]红帽认证的UBI容器映像(用于JFrog Artifactory)可进一步确保运行Artifactory的基础操作系统具备更高可靠性、安全性和性能。

五、丰富的自定义报表

JFrog Xray的自定义报表使您可以轻松地对开源软件包、内部版本和交付制品的Xray扫描进行分类并采取措施。每个报表都提供特定时间点的OSS风险快照,并以直观的可视化方式显示信息。

您可以通过按易受攻击的组件、受影响的制品、扫描日期、CVE ID或CVSS严重性评分进行筛选,来配置报表的范围。为了进行修复,您还可以将报表配置为显示“所有漏洞”、“已修复的漏洞”或“没有修复的漏洞”。


Xray的报表支持多种类型,主要包括:

[if !supportLists]· [endif]漏洞报表,提供有关制品、内部版本和软件发行版(发行包)中的漏洞信息,以及诸如易受攻击的组件、CVE记录、CVSS分数和严重性之类的标准;

[if !supportLists]· [endif]许可证合规性报表,为您提供所有组件和制品及其相关的软件许可证,使您可以验证所使用的组件和制品是否符合公司的许可证准则。它列出了与每个组件关联的所有许可证类型,以及未知和无法识别的许可证;

[if !supportLists]· [endif]违规报表,为您提供有关在选定范围内找到的每个组件的安全和许可证违规的信息,包括违规的类型、受影响的组件和制品,以及严重性。它的范围也由高级过滤器定义。

Xray报表的独特功能之一是易受攻击组件的影响路径。组件可以出现在构建镜像中的多个位置或多个构建中。Xray将向您显示易受攻击组件影响的软件的所有位置。


六、管理“假阳性”的安全噪音

JFrog Xray的忽略规则允许您设置白名单,忽略或接受安全违反规则,以过滤掉不必要的安全噪音。您可以设置规则,为不同的团队和用户忽略安全噪音。忽略原因如下:

[if !supportLists]· [endif]您已经知道该漏洞,可以对其进行防护;

[if !supportLists]· [endif]您的环境不符合此违规要求;

[if !supportLists]· [endif]该漏洞不是高危级别,稍后您将进行处理;

[if !supportLists]· [endif]停止不重要的,能够使构建失败或阻止下载的违规处理。


忽略规则功能为您提供了广泛的灵活性和精确度,使您可以忽略基于漏洞/许可证、组件、制品,或监视的违规行为。这样,您可以非常明确地了解要忽略的内容,例如,可以将其设置为特定的组件、特定的许可证,或特定的组件版本号。


您可以将忽略规则设置为在特定时间段内运行。这意味着,例如,在加快开发速度的同时,您可以在3周内忽略某些违规行为,之后将再次执行这些规则。

七、总结

这些激动人心的新功能只是我们对Xray所做的最新增强。随着DevOps安全对于企业至关重要,我们正在迅速扩展其功能。请持续关注JFrog Xray和JFrog Platform针对DevSecOps增强功能有关的重要公告!

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,542评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,596评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,021评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,682评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,792评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,985评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,107评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,845评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,299评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,612评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,747评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,441评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,072评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,828评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,069评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,545评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,658评论 2 350

推荐阅读更多精彩内容