Neue kontextbasierte DevSecOps-Analysefunktionen in JFrog Xray vorgestellt

Das neueste Release von JFrog Xray hilft den Kunden, die Relevanz, die Auswirkungen und die erforderliche Behebung von Sicherheitslücken dynamisch zu bewerten und die Zeit bis zur Behebung zu verkürzen

JFrog, der Liquid-Software-Anbieter und Schöpfer der JFrog DevOps-Plattform, stellt erweiterte kontextbasierte Analyse-Sicherheitsfunktionen in JFrog Xray, der DevSecOps-Lösung des Unternehmens, vor. Die neuen Funktionen von JFrog Xray sind ein Beweis für die integrierte Roadmap nach der Übernahme von Vdoo und ermöglichen es den Kunden, den Bedrohungsgrad und die Relevanz allgemeiner Schwachstellen (CVEs) genauer zu bestimmen, was zu einer schnelleren und präziseren Priorisierung der Abhilfemaßnahmen führt. Zusammen mit JFrog Artifactory bietet diese Xray-Version eine ganzheitliche, automatisierte, skalierbare Lösung, um gefährliche CVEs zu finden und automatisch zu priorisieren sowie geeignete Lösungswege aufzuzeigen.

Anstatt Zeit und Ressourcen für die Erforschung oder Behebung jeder neuen CVE auf der Grundlage des Common Vulnerability Scoring System (CVSS) zu verwenden, verfolgen die kontextbasierten Analysefähigkeiten von JFrog Xray einen intelligenten Ansatz für Software-Scans auf binärer Ebene, die ein vollständigeres Bild der Anwendbarkeit und Bedrohung zeichnet, die von den identifizierten Schwachstellen ausgehen. Zu wissen, ob ein bestimmtes CVE für die eigene Umgebung relevant und leicht ausnutzbar ist, hilft den bereits überlasteten DevSecOps-Teams, ihre kritischsten Sicherheitslücken schnell zu lokalisieren und zu beheben. Da JFrog Xray Teil der JFrog-Plattform ist, können Kunden, sobald eine Schwachstelle identifiziert wurde, die erforderlichen Software-Updates sicher Ende zu Ende erstellen und zu verteilen.

„Wir sind begeistert, dass wir unseren Kunden einen integrierten Plattform-Ansatz anbieten können, um schnell die Anwendbarkeit und das Risiko jeder Schwachstelle zu bestimmen und dann die entsprechenden Abhilfemaßnahmen zu implementieren“, sagt Nati Davidi, SVP bei JFrog Security. „Bei der Vielzahl von Schwachstellen heutzutage brauchen Kunden Lösungen, die ihnen helfen, sich auf das zu konzentrieren, was tatsächlich geschützt werden muss. Durch die Erkennung jeder Schwachstelle auf binärer Ebene hilft die kontextbezogene Analyse von Xray Entwicklern und Sicherheitsteams, fundierte Entscheidungen über die Auswirkungen einer bestimmten Schwachstelle zu treffen, so dass sie zuversichtlich und schnell Abhilfepläne ausführen können, während sie gleichzeitig den Aufwand reduzieren.“

Herkömmliche Tools zur Analyse der Softwarezusammensetzung (SCA) können in einem einzigen Scan oft Hunderte von Schwachstellen finden, was die Entwicklungsteams vor die mühsame Aufgabe stellt, herauszufinden, welche Schwachstellen wirklich wichtig sind. Durch fortschrittliche Binär-Scans von Container-Images liefert die kontextbezogene Analyse von JFrog Xray ein genaueres Bild davon, welche Schwachstellen existieren, ob sie relevant und/oder leicht ausnutzbar sind – was es Entwicklern und DevSecOps-Teams ermöglicht, Anstrengungen und Ressourcen für eine schnelle Behebung zu priorisieren.

Die Identifizierung und Bewertung relevanter Kontextfaktoren wie das Vorhandensein eines erreichbaren Pfads zum anfälligen Code oder einer Konfigurationsvariable, die sich auf die Anwendbarkeit von CVEs auswirkt, erfordert in der Regel eine umfangreiche manuelle Analyse durch Sicherheitsexperten. Dieser Ansatz wird den Anforderungen moderner Unternehmen an eine schnelle und umfassende DevOps-Sicherheitsumgebung nicht gerecht.  Als anerkannte Certified Numbering Authority (CNA) überwacht, identifiziert und analysiert JFrog’s Security Research Team kontinuierlich sowohl bestehende als auch neu entstehende CVEs, um festzustellen, ob sie wahrscheinlich von realen Angreifern ausgenutzt werden können. Mit JFrog Xray profitieren Kunden von dieser umfangreichen Forschung, die Klarheit darüber verschafft, wie die Schwachstelle ausgenutzt werden kann, und klare Anleitungen zur Abhilfetaktik bietet, die über eine automatisierte, skalierbare Plattform bereitgestellt werden.

Die kontextuelle Analyse und die anderen neuen Funktionen in JFrog Xray werden ab Mitte Februar schrittweise auf die gesamte JFrog-Kundenbasis ausgerollt. Dieses JFrog Xray Update wird in mehreren Sprachen und Architekturen unterstützt, einschließlich JS, Java und Python, basierend auf JFrogs universeller Produktphilosophie. Für zusätzliche Informationen über kontextuelle Analyse und andere neue Funktionen in der neuesten Version von JFrog Xray lesen Sie diesen Blog oder besuchen Sie die JFrog Xray Lösungsseite. Bei Interesse können Sie sich auch registrieren, um mehr über die neue kontextuelle Analyse, erweiterte CVE-Daten, Git Dependency Scanning und SBOM-Fähigkeiten in JFrog Xray im Rahmen des „New Year, New Features in Xray“ Webinars zu erfahren.