ג׳ייפרוג משיקה את מוצר האבטחה הראשון בעולם הממוקד לאנשי DevOps
פתרון האבטחה JFrog Advanced Security יחבר בין צוותי פיתוח, סייבר ותפעול, ויספק הגנה לכלל שרשרת אספקת התוכנה
אחת המטרות החמות של תוקפי סייבר הן שרשראות אספקת התוכנה (Software Supply Chain). כיום, מפתחים הם אחד היעדים הבולטים למתקפה של האקרים, כאשר מגוון הכלים והתהליכים, כמו גם הכמויות העצומות של ספריות קוד פתוח וקבצים בינאריים, חשופים כולם לתקיפות.
במצב הנוכחי, צוותי DevOps הפכו ל"אחראי האבטחה" בארגונים. במקביל, צוותי הסקיורטי נאלצים לאזן בין מספר כלים, תצורות ודו״חות שכולם דורשים משאבי צוות פיתוח. נכון לעכשיו, אף פתרון לא מגשר כראוי בין קבוצות אלה, וכך צוותי האבטחה הופכים למנהלי משימות עבור צוותי הפיתוח, והם מוצפים בבקשות, תהליכים ורגולציות שאינן יכולות הליבה שלהם. מהנדסים ומפתחים זקוקים לכלים הוליסטיים שיסייעו להתמודד עם איומי אבטחת שרשרת אספקת התוכנה בעידן המודרני.
סקר שנערך לאחרונה על ידי חברת המחקר IDC מצא שפחות מ-60% מהארגונים משתמשים במתודולוגיות DevSecOps עבור למעלה מ-40% מהיישומים שלהם בפיתוח. תוצאות אלו לא השתנו מהסקר הקודם שנערך ב-2021.
בשבוע הבא ג׳ייפרוג תחשוף את פתרון האבטחה הראשון והיחיד המתמקד במתודולוגיית DevOps לשמירה על שרשרת אספקת התוכנה.
המוצר החדש, JFrog Advanced Security, יאחד צוותי פיתוח, סייבר ותפעול, בכדי לספק תוכנה במהירות, ביעילות ובקנה מידה גדול.
JFrog Advanced Security יסייע לחברות ֵ, שבהן משתמשים התוקפים כדי לסכן תהליכי פיתוח תוכנה, שחרור ופריסה. כמו כן, באמצעות JFrog Advanced Security יוכלו כל הצוותים להיות חשופים לבעיות האבטחה בארגון, וכך יווצר אמון ושיתוף פעולה בין הצוותים שאמונים על תיקון הפגיעויות במהירות.
הפיצ'רים החדשים יכללו :
Container Contextual Analysis
טכנולוגיה חדישה שמאפשרת זיהוי מדויק בהרבה של פגיעויות מתוכנות צד שלישי (CVEs). פתרון האבטחה החדש יודע לומר אם פגיעות מסוימת באמת ניתנת לניצול ע"י ניתוח של הקונפיגורציה והקוד שמשתמשים בתוכנה הפגיעה, לעומת הפתרון הרווח בשוק שבוחן רק אם תוכנת הצד השלישי מותקנת. הפתרון החדש יאפשר למתכנתים ואנשי DevOps לחסוך זמן רב ע"י דחייה או אפילו התעלמות מפגיעויות צד שלישי שלא באמת ניתנות לניצול. פתרון זה מצטרף ליכולות הקיימות של JFrog לסריקת קונטיינרים, למשל מנגנון זיהוי החבילות הזדוניות של JFrog שמסתמך על מסד נתונים שנבנה בקפידה ומכיל יותר מ-17 אלף חבילות זדוניות.
Exposed Secrets Detection
הפתרון מאפשר זיהוי של סיסמאות, מפתחות פרטיים ומפתחות גישה שנחשפו בטעות בקוד או בקבצי קונפיגורציה, תוך מתן דגש על איכות התוצאות וכמות זניחה של False Positives.
Insecure use of Libraries and Services
הפתרון מאפשר למתכנתים לזהות בקלות אם תוכנות וספריות צד שלישי מוגדרות בצורה שיוצרת בעיות אבטחה. עבור כל זיהוי, המערכת מספקת פתרון קל למימוש עבור בעיית האבטחה הספציפית.
Vulnerable Infrastructure-as-Code (IaC)
הפתרון סורק ומציג בעיות אבטחת מידע במודולי IaC, ספציפית עם תמיכה במודולים של Terraform. כמו כל שאר הפתרונות החדשים, המערכת מספקת פתרון קל למימוש עבור כל בעיית אבטחה ספציפית שזוהתה.