Jfrog выпустил единое Девенс платформа Половив весь номер продукции под одну крышу. У вас будет полное представление о том, что происходит с вашими артефактами, более четкие разрешения контроля, более быстрым доступом к вашим трубопроводам сборки, а мой личный фаворит: сканирование уязвимости, запеченное вправо. Позвольте мне показать вам!
Выглядит довольно чисто, верно? Один логин получает доступ к всей платформе. Ваша приборная панель предоставляет некоторую высокоуровневую информацию о состоянии ваших услуг, а также использование тенденций для использования через типы пакетов. Слева у вас есть прямой доступ к вашим услугам JFROG: Артефактория, распределение, трубопроводы, и тот, о котором я расскажу: рентген.
JFROG XRay — универсальный компонент Devesecops Tool, который защищает вас от Уязвимости безопасности и вопросы соответствия лицензии, которые могут быть скрыты в вашем программном обеспечении. Давайте посмотрим на вкладку «Безопасность и соответствие», чтобы увидеть, как мы можем автоматически вызвать предупреждения, отказаться от сборки или даже загрузки загрузки на основе порогового значения, который вы устанавливаете.
JFROG XRay функционирует на системе Политика и часы Отказ Политики позволяют нам определять поведение соответствия безопасности и лицензии, специфичным для вашей организации. Как только они определены, они применяются, применяя их к наблюдателям.
В этом случае политика срабатывает, когда найдена уязвимость, классифицированная как «высокая». Сканирование XRay рекурсивно, поэтому он смотрит на самые маленькие компоненты, влияющие на ваши пакеты. Его база данных уязвимостей является многогранная, используя публичную информацию, свою собственную личную базу данных и вульндб по безопасности риска. Если уязвимость известна, это найдет это. Эта информация представлена вам в паре мест, но самая легкая для переварения находится в виде графика анализа воздействия, который я покажу вам позже.
Как только политика была определена, вы должны назначить его часы. Часы — это коллекция репозиториев, сборки и распуклостей, которые рентген должен быть сканирование. Мне нравится организовывать это по проекту, но решать вам, как справиться с этим. Политики могут быть назначены нескольким часам, поэтому нет необходимости определять их тонну.
Теперь, когда у вас есть политика, и это присвоено часам, вы начнете видеть данные рентгеновских данных в нескольких разных местах в другом месте в платформе. Тот факт, что в настоящее время все в настоящее время организовано в одной панели стекла, делает пребывание на любой потенциальной безопасности или вопросам лицензии на самом деле, действительно легко. Давайте перепмемся на вкладку «Артефактов» и посмотрите на то, что происходит с некоторыми нашим сборным.
Мы уже можем видеть отсюда, что есть некоторые проблемы. Каждый из этих сборных имеет рентгенограмму «высокий» — что-то рискованное происходит с некоторым компонентом здесь. Нам нужна дополнительная информация, хотя. Какова фактическая уязвимость? Это то, на что нам действительно нужно действовать? Какой конкретный компонент вызывает проблему, и какую версию нам нужно обновить ее, если мы хотим решить уязвимость? Нажмите на сборку и узнайте.
Под вкладкой данных XRay для самых последних сборки мы получаем тонну информации. Все, что нарушает нашу заданную безопасность и политику лицензии, здесь. Мы немедленно получаем некоторую информацию высокой уровня: краткое изложение уязвимости, серьезность, политика которой было вызвано, рассматриваемая компонент, пострадавшие версии и версии Fix, если таковые имеются. Нажмите на один из них, и вы получите еще больше информации.
Справа находится график анализа воздействия, который я упомянул ранее. X Ray откинул вашу пакет и просвернул через слои, чтобы найти проблему с Джексоном. Чтобы помочь в разрешении уязвимости, мы также получаем описание проблемы, ссылки, CVES и многое другое. Вы точно знаете, какой компонент вызывает проблему, и очень четко в чем проблема. Там нет догадок, участвующих в фиксации, и эта информация легко доступна вам, независимо от того, где вы находитесь на платформе.
Сбор всех продуктов JFROG в одну платформу дает вашей команде четкое представление в любой аспект жизненного цикла вашего артефакта. Все, что вы хотите знать, легко в пределах досягаемости, всего в два или два. Если вы действительно заботитесь о том, чтобы автоматизировать неприятности проблемы с уязвимостями безопасности и нарушениями лицензии, RSHAY довольно убедительно. Оставайтесь настроенными для прохождения остальной части новой платформы JFROG, и не стесняйтесь обращаться ко мне, если у вас есть вопросы!
Оригинал: «https://dev.to/jfrog/easy-automatic-vulnerability-detection-in-the-jfrog-platform-5928»