JFrog Advanced Security unterstützt Entwickler-, Sicherheits- und Betriebsteams mit unternehmensweiter Automatisierung und Kontrolle des Software Delivery Flow
JFrog, der Liquid-Software-Anbieter und Schöpfer der JFrog DevOps-Plattform, stellt JFrog Advanced Security vor – die weltweit erste binär-fokussierte DevSecOps-Lösung, die ganzheitliche Sicherheitsabdeckung von jeder Quelle bis zu jedem Ziel bietet. Nativ integriert mit dem Artifactory Binary Repository und dem Xray Software-Kompositions-Analyse-Tool, bieten die Fähigkeiten der neuen Sicherheitslösung den Anwendern eine optimale Plattform-Erfahrung und einen effektiven Schutzschild für umfassende Software-Supply-Chain-Sicherheit.
Untersuchungen zeigen, dass Cyberkriminalität die Weltwirtschaft im Jahr 2021 6 Billionen Dollar kosten wird, und es wird ein Anstieg dieser Zahl auf 10,5 Billionen Dollar bis 2025 erwartet. Den größten Bedrohungsvektor bei heutigen Cybersecurity-Angriffen stellt offener Quellcode dar, da Bedrohungsakteure versuchen, schwache Glieder in der Software-Lieferkette eines Unternehmens auszunutzen, z. B. kritische Schwachstellen, falsch konfigurierte Dienste oder geleakte Daten. Gleichzeitig verwenden Entwickler, Sicherheitsverantwortliche und Betriebsteams eine Vielzahl unterschiedlicher Sicherheitslösungen, die kumuliert nur einen unvollständigen Überblick über das Software-Ökosystem liefern können. JFrog Advanced Security wurde entwickelt, um Transparenz und Kontrolle über die Software-Lieferkette eines Unternehmens mit Hilfe einer einzigen, einheitlichen Plattform und einer intuitiven Benutzeroberfläche zu bieten, was dazu beiträgt, den Overhead drastisch zu reduzieren und schadhaften Code, der häufig die Entwicklungs-, Einsatz- und Laufzeitprozesse kompromittiert, sehr schnell zu identifizieren.
„Die Tiefe der Sicherheits- und Abhilfelösungen, die Anbieter anbieten, wird durch die Daten begrenzt, die sie besitzen, schützen und analysieren. Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden. Das bedeutet, dass wir einzigartig positioniert sind, um Sicherheitslösungen von innen nach außen anzubieten, mit umfassenden und ganzheitlichen Lösungen“, sagt Shlomi Ben Haim, Mitbegründer und CEO von JFrog. „Dies ist notwendig in einer Welt, in der jeder Entwickler zur Zielscheibe geworden ist und jedes DevOps-Team weiß, dass der einzige Weg, die gesamte Lieferkette zu sichern, über Binärdateien führt. Unsere Kunden haben uns auf ihren Bedarf nach einer End-to-End-Abdeckung und -Kontrolle aufmerksam gemacht, und wir sind stolz darauf, unsere bisher fortschrittlichste Sicherheitslösung auf den Markt zu bringen.“
Die Aufgabe der Sicherheitsteams besteht darin alle notwendigen Maßnahmen zu ergreifen, um das Unternehmen umfassend zu schützen, während Entwickler dafür zuständig sind hochwertige Software entwickeln, anstatt viel Zeit und Energie in die Behebung von Schwachstellen zu investieren. Beide Seiten engagieren sich für die Stärkung der Cyber-Abwehr des Unternehmens. Jedoch kann der Einsatz unterschiedlicher Systeme, unterschiedlicher oder redundanter Informationen und inkonsistenter Berichte diese Zusammenarbeit, ebenso wie die Schaffung eines detaillierten Bildes der Abhängigkeiten von Softwarepaketen, behindern.
„Viele der heutigen Software-Sicherheitslösungen für Unternehmen sind unzureichend, weil sie sich nur auf den Quellcode konzentrieren und darauf, was passiert, bevor die Software in Produktion geht“, sagt Asaf Karas, CTO von JFrog Security. „Um die Software-Lieferkette wirklich zu schützen, muss jedoch sowohl der Code in der Entwicklung als auch in der Produktion auf binärer Ebene berücksichtigt werden. Unsere Sicherheitslösung bietet ein reichhaltiges Set an Binär- und Quellcode-Analysefähigkeiten, die sich von der Entwickler- bis zur Produktionsumgebung in einer einzigen, integrierten DevOps-Plattform erstrecken – und hilft dabei, die Komplexität zu beseitigen und die Sicherheitserkennung, -bewertung und -behebung zu rationalisieren.“
Durch die Schaffung einer intelligenten Brücke zwischen Entwicklern, Sicherheits- und Betriebsteams, angetrieben durch ein hochqualifiziertes Sicherheitsforschungsteam, ermöglicht die Sicherheitslösung, die Verwendung einer Single Source of Truth für die Erkennung, Bewertung und Behebung von kritischen Schwachstellen (CVE) sowie sicherheitsrelevanter Konfigurationseinstellungen. Daraus ergeben sich folgende Vorteile:
- Entdeckung potenzieller Leaks: Aufdecken von Passwörtern, Zugriffstoken und privaten Schlüsseln, die in einem Container durchgesickert sind oder offengelegt wurden, um das versehentliche Leaken von API-Schlüsseln, internen Token oder Anmeldeinformationen zu verhindern.
- Schnelle Container-Kontextanalyse: Erkennen schadhafter Pakete oder der Verwendung von anfälligem Open-Source-Code und Open-Source-Schwachstellen zu einem frühen Zeitpunkt im Entwicklungsprozess.
- Erkennung unsicherer Nutzung von Bibliotheken und Diensten: Sichtbarmachen der unsicheren Verwendung gängiger Open-Source-Softwarebibliotheken und -Dienste.
- Überprüfung anfälliger Infrastructure-as-Code (IaC): Überprüfen von IaC-Dateien, um sicherzustellen, dass Cloud-Infrastrukturen nicht falsch konfiguriert sind und somit ausgenutzt werden können.
- Einfach skalierbare Architektur: Ergänzung der Features um eine Legende von Artefakten innerhalb einer Organisation und neue Funktionen für eine umfassende und skalierbare Kontrolle und Absicherung des gesamten Softwareportfolios über On-Prem-, Cloud-, Multi-Cloud- und Hybrid-Implementierungen.
- Native Integration: JFrog Artifactory bildet das Herzstück der Plattform und fungiert als universelles binäres Repository, das Unternehmen die sichere Kontrolle und Verwaltung von Aktualisierungsflüssen über die gesamte Software-Lieferkette in beliebigem Umfang ermöglicht.
„Da der Umfang und die Raffinesse von Cyberangriffen immer weiter zunehmen, stehen Unternehmen vor der Herausforderung, Bedrohungen ständig zu überwachen und funktionsübergreifend an deren Behebung zu arbeiten, während sie gleichzeitig eine Vielzahl von unzusammenhängenden Einzellösungen verwenden, die sie ausbremsen können“, sagt Jim Mercer, Research Director für DevOps und DevSecOps bei IDC. „Unternehmen brauchen aber einen Plattform-Ansatz, der Sicherheit kohärent in den DevOps-Workflow integriert, um Austausch zwischen Entwickler, Betriebs- und Sicherheitsteams zu gewährleisten und Bedrohungen über die gesamte Software-Lieferkette hinweg effizient zu beheben.“
Weitere Informationen über JFrog Advanced Security finden sie hier: https://jfrog.com/advanced-security-launch
Weitere Artikel
JFrog verbessert die Zusammenarbeit und Sicherheit bei der Softwareentwicklung mit der neuen Microsoft Teams App
JFrog integriert ServiceNow – Verbesserte Reaktionszeiten auf Software-Sicherheitslücken durch gemeinsames Software-Composition-Analyse-Tool
Benutzeridentitäten effektiv verwalten
Tufin optimiert Security Policy-Management