Die CNA-Zertifizierung versetzt das Forschungsteam von JFrog in die Lage, Schwachstellen zu identifizieren, die die Systeme der Kunden und die nationale Infrastruktur bedrohen, und zur Abhilfe beizutragen
JFrog Ltd. (NASDAQ: FROG), der Liquid-Software-Anbieter und Schöpfer der JFrog DevOps-Plattform, ist zur CVE Numbering Authority (CNA) im Rahmen des CVE-Programmsernannt worden. Mit dieser Zertifizierung wird JFrog Mitglied einer herausgehobenen Gruppe von Unternehmen und Organisationen des öffentlichen und privaten Sektors, die befugt sind, neu entdeckten Sicherheitslücken CVE-Identifikationsnummern zuzuweisen und die zugehörigen Details in entsprechenden CVE-Einträgen zu veröffentlichen. Die Autorisierung befähigt JFrog, in Zusammenarbeit mit der globalen Security Community die Erkennung von Bedrohungen zu beschleunigen und zugleich seine Kunden über JFrog Xray mit den aktuellsten Schwachstelleninformationen und differenzierten Daten zur Problembehebung zu versorgen.
„Der CNA-Status versetzt uns nicht nur in die Lage, Sicherheitsforschern bei der Überprüfung und Einstufung gefundener Schwachstellen zu helfen. Wir können auch dazu beitragen, dass die Anwendungen von Unternehmen sicherer werden, indem wir bei potenziellen Bedrohungen mit der breiteren Sicherheitsgemeinschaft zusammenarbeiten“, erklärt Moran Ashkenazi, CISO und VP of Security Engineering, JFrog. „Die Zahl der Sicherheitsrisiken in Software und vernetzten Geräten nimmt weiter zu. Als CNA können wir in Kooperation mit der Community die Erkennung von Bedrohungen beschleunigen und Informationen über neue Schwachstellen schnell verbreiten – bevor Unternehmen kompromittiert werden.“
Cybersicherheits- und IT-Fachleute weltweit nutzen die CVE-Einträge, um kritische Software-Schwachstellen zu identifizieren, zu priorisieren und ihre Maßnahmen zu koordinieren. CVE-IDs werden von CNAs wie JFrog auf freiwilliger Basis zugewiesen. Die Zertifizierung macht JFrog zu einem der wenigen führenden DevSecOps-Anbieter, die als vertrauenswürdige Mitwirkende der Sicherheitsgemeinschaft mit rund 180 anderen CNA-autorisierten kommerziellen Organisationen zusammenarbeiten, darunter Linux, Red Hat, Google und Microsoft.
„Als CNA können wir die Ergebnisse unserer einzigartigen Forschungen effektiver und effizienter an unsere Kunden und die gesamte Software Community weitergeben. Das gilt sowohl hinsichtlich neu entdeckter Schwachstellen als auch bestehender CVE-Einträge, die möglicherweise ungenau oder unvollständig sind“, so Asaf Karas, CTO, JFrog Security. „In diesem Erfolg spiegelt sich unser Bestreben, uns aktiv in der Security Community zu engagieren und den Kunden skalierbare, sichere DevSecOps-Lösungen zu bieten, die sich von der Entwicklung bis zur Edge erstrecken.“
Für weitere Informationen über die CNA-Zertifizierung von JFrog und darüber, wie diese zum Schutz von Unternehmen und der kritischen nationalen Infrastruktur beiträgt, sowie über das Verfahren zur Offenlegung von Sicherheitslücken lesen Sie bitte diesen Blogpost oder besuchen https://jfrog.com/trust/.
Über das CVE-Programm
Das CVE®-Programm (Common Vulnerabilities and Exposures) dient dazu, öffentlich bekannt gegebene Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren. Für jede Schwachstelle gibt es einen eigenen CVE-Eintrag im Katalog. Die Schwachstellen werden von Organisationen auf der ganzen Welt, die mit dem CVE-Programm zusammenarbeiten, gefunden, zugewiesen und veröffentlicht. Die Partner veröffentlichen CVE-Einträge, um einheitliche Beschreibungen von Schwachstellen zu kommunizieren. IT- und Cybersicherheitsexperten nutzen diese CVE-Einträge, um zu gewährleisten, dass sie jeweils über dasselbe Problem sprechen, und Schwachstellen koordiniert zu priorisieren und zu beseitigen. Die Liste der CVE-Schwachstellen, die in die U.S. National Vulnerability Database (VulnDB) eingespeist wird, wird von CVE Numbering Authorities (CNAs) aufgebaut. Das CVE-Programm wird von der Cybersecurity and Infrastructure Security Agency (CISA) des US Department of Homeland Security (DHS) unterstützt.
Das CVE-Programm stützt sich auf die Community, um Schwachstellen zu finden. Die gefundenen Schwachstellen werden von Organisationen auf der ganzen Welt, die mit dem CVE-Programm zusammenarbeiten, zugewiesen und veröffentlicht. Das CVE Board, das die Ausrichtung des CVE-Programms bestimmt, besteht aus Wirtschafts-, Wissenschafts- und Regierungsvertretern aus aller Welt. CVE Working Groups entwickeln die Richtlinien des Programms (die vom CVE-Board genehmigt werden) und stehen den Mitgliedern der Community offen.
Über die CVE Numbering Authorities
CVE Numbering Authorities (CNAs) sind Unternehmen und Organisationen aus der ganzen Welt, die zur Vergabe von CVE-IDs für Sicherheitslücken befugt sind, die in Produkten in ihrem jeweiligen vereinbarten Zuständigkeitsbereich auftreten und dann in die öffentlichen Bekanntmachungen aufgenommen werden. Diese CVE-IDs werden Sicherheitsexperten, Informationsgebern und Anbietern von Informationstechnologien zur Verfügung gestellt. Die Teilnahme an dem Programm ist freiwillig und hat eine Reihe von Vorteilen: Die Teilnehmer können eine Schwachstelle mit einer bereits zugewiesenen CVE-ID öffentlich bekannt machen, die Bekanntgabe von Informationen zu Schwachstellen ohne Vorabveröffentlichung steuern und Sicherheitsforscher, die eine CVE-ID bei ihnen anfordern, über Schwachstellen in Produkten innerhalb ihres Zuständigkeitsbereichs informieren. Um zu erfahren, für welche Produkte die einzelnen CNAs zuständig sind, besuchen Sie bitte die Seite Request a CVE ID.
