JFrog stellt erweiterte kontextbasierte Analyse-Sicherheitsfunktionen in JFrog Xray vor. Das neueste Release von JFrog Xray hilft den Kunden, die Relevanz, die Auswirkungen und die erforderliche Behebung von Sicherheitslücken dynamisch zu bewerten und die Zeit bis zur Behebung zu verkürzen.
Zusammen mit JFrog Artifactory bietet diese Xray-Version eine ganzheitliche, automatisierte, skalierbare Lösung, um gefährliche CVEs zu finden und automatisch zu priorisieren sowie geeignete Lösungswege aufzuzeigen.
Anstatt Zeit und Ressourcen für die Erforschung oder Behebung jeder neuen CVE auf der Grundlage des Common Vulnerability Scoring System (CVSS) zu verwenden, verfolgen die kontextbasierten Analysefähigkeiten von JFrog Xray einen intelligenten Ansatz für Software-Scans auf binärer Ebene, die ein vollständigeres Bild der Anwendbarkeit und Bedrohung zeichnet, die von den identifizierten Schwachstellen ausgehen.
Zu wissen, ob ein bestimmtes CVE für die eigene Umgebung relevant und leicht ausnutzbar ist, hilft den bereits überlasteten DevSecOps-Teams, ihre kritischsten Sicherheitslücken schnell zu lokalisieren und zu beheben. Da JFrog Xray Teil der JFrog-Plattform ist, können Kunden, sobald eine Schwachstelle identifiziert wurde, die erforderlichen Software-Updates sicher Ende zu Ende erstellen und zu verteilen.
Herkömmliche Tools zur Analyse der Softwarezusammensetzung (SCA) können in einem einzigen Scan oft Hunderte von Schwachstellen finden, was die Entwicklungsteams vor die mühsame Aufgabe stellt, herauszufinden, welche Schwachstellen wirklich wichtig sind.
Durch fortschrittliche Binär-Scans von Container-Images liefert die kontextbezogene Analyse von JFrog Xray ein genaueres Bild davon, welche Schwachstellen existieren, ob sie relevant und/oder leicht ausnutzbar sind – was es Entwicklern und DevSecOps-Teams ermöglicht, Anstrengungen und Ressourcen für eine schnelle Behebung zu priorisieren.
Die Identifizierung und Bewertung relevanter Kontextfaktoren wie das Vorhandensein eines erreichbaren Pfads zum anfälligen Code oder einer Konfigurationsvariable, die sich auf die Anwendbarkeit von CVEs auswirkt, erfordert in der Regel eine umfangreiche manuelle Analyse durch Sicherheitsexperten.
Dieser Ansatz wird den Anforderungen moderner Unternehmen an eine schnelle und umfassende DevOps-Sicherheitsumgebung nicht gerecht. Als anerkannte Certified Numbering Authority (CNA) überwacht, identifiziert und analysiert JFrog's Security Research Team kontinuierlich sowohl bestehende als auch neu entstehende CVEs, um festzustellen, ob sie wahrscheinlich von realen Angreifern ausgenutzt werden können.
Mit JFrog Xray profitieren Kunden von dieser umfangreichen Forschung, die Klarheit darüber verschafft, wie die Schwachstelle ausgenutzt werden kann, und klare Anleitungen zur Abhilfetaktik bietet, die über eine automatisierte, skalierbare Plattform bereitgestellt werden.
Die kontextuelle Analyse und die anderen neuen Funktionen in JFrog Xray werden ab Mitte Februar schrittweise auf die gesamte JFrog-Kundenbasis ausgerollt. Dieses JFrog Xray Update wird in mehreren Sprachen und Architekturen unterstützt, einschließlich JS, Java und Python, basierend auf JFrogs universeller Produktphilosophie.