一、背景
当前,随着比较常用的组件,如Tomcat、Docker、Kubernetes等陆续曝出存在高危漏洞,组件安全已成为业界日益关注的安全扫描新的重要分支。必须在DevOps流程中加强针对组件的安全扫描,这也是当前业界推荐的DevSecOps的重要组成部分。
JFrog Xray作为屡获殊荣的通用软件组成分析(SCA)解决方案,已得到全球开发人员和DevSecOps团队的信任,可以快速、连续地确定开源软件的安全漏洞和违反许可证合规性的行为。
JFrog持续努力,不断开发和创新,以为我们的客户提供更好的端到端DevSecOps体验。本文详细介绍了近期我们在JFrog Xray中添加的新功能,以帮助客户保持其准时发布的效率、质量,和安全性。
二、支持Conan包及C/C++的漏洞扫描
JFrog Xray最新支持扫描部署到JFrog Artifactory的Conan软件包以及C/C++应用构建。Conan是C/C++语言的依赖和程序包管理器,是开源的解决方案,可在所有OS平台上使用。它与所有构建系统(如CMake和Visual Studio等),以及专有系统集成在一起。Conan强大的功能是可以为任何平台和配置创建和管理预编译的二进制文件。
Xray支持以下四种Conan和C/C++构建扫描的主要场景:
[if !supportLists]· [endif]Xray扫描从ConanCenter下载到Artifactory的软件包
[if !supportLists]· [endif]Xray扫描基于Conan构建并已上传到Artifactory的程序包
[if !supportLists]· [endif]如果您正在构建Conan软件包并将Xray集成到CI流程中,则Xray将扫描那些Conan的构建
[if !supportLists]· [endif]即使您不使用Conan,Xray也会扫描您的C++构建
三、支持CVSS v3版本
为了在DevOps上取得成功,您选择的解决方案必须使您能够很好地完成一系列关键任务。让我们对比研究一下GitHub和JFrog,看看它们是否能够很好地完成您招聘所需完成的工作。
通用漏洞评分系统(CVSS)是一个开放的行业标准,用于评估软件安全漏洞的严重性。评分算法使用几种指标来分配和标记安全漏洞的严重性评分,而这些指标旨在逼近这些安全漏洞被利用的容易程度和威胁级别。Xray从两个不同的来源收集评分和严重性:
[if !supportLists]· [endif]NVD:美国国家漏洞数据库,包含已知漏洞及其各自的CVSS分数;
[if !supportLists]· [endif]OS软件包安全咨询:某些开源操作系统具有自己的安全跟踪系统,可以进一步分析操作系统软件包中的漏洞。
CVSS评分的分数范围和严重程度
评分的目的是允许您根据威胁的级别确定响应和资源的优先级。分数的范围是0到10,其中最高的是10。CVSS v3还提供了严重性描述,如下所示:
[if !supportLists]· [endif]危急(Critical)
[if !supportLists]· [endif]高级(High)
[if !supportLists]· [endif]中级(Medium)
[if !supportLists]· [endif]低级(Low)
[if !supportLists]· [endif]未知(Unkown)
在Xray中设置的安全规则是根据CVSS v3得分或严重性级别(用于触发违规)来衡量的。Xray将继续支持CVSS v2评分,但仅在CVSS v3评分不可用时才使用它。
四、红帽安全扫描认证
JFrog Xray已通过Red Hat认证,成为其Red Hat Partner Vulnerability Scanner认证计划中的合作伙伴。通过认证可确保JFrog Xray识别的安全漏洞和许可证合规性数据准确,且与Red Hat软件包的预期结果一致,从而能够基于可信任的、经过认证的来源进行准确的风险评估。这意味着使用RPM软件包的企业可以放心地将JFrog平台用作其DevSecOps平台。
除了Xray的漏洞扫描程序认证外,JFrog平台还通过了以下认证:
[if !supportLists]· [endif]红帽认证的OpenShift操作员(用于JFrog Artifactory和JFrog Xray)可增强客户的安装和自动化;
[if !supportLists]· [endif]红帽认证的UBI容器映像(用于JFrog Artifactory)可进一步确保运行Artifactory的基础操作系统具备更高可靠性、安全性和性能。
五、丰富的自定义报表
JFrog Xray的自定义报表使您可以轻松地对开源软件包、内部版本和交付制品的Xray扫描进行分类并采取措施。每个报表都提供特定时间点的OSS风险快照,并以直观的可视化方式显示信息。
您可以通过按易受攻击的组件、受影响的制品、扫描日期、CVE ID或CVSS严重性评分进行筛选,来配置报表的范围。为了进行修复,您还可以将报表配置为显示“所有漏洞”、“已修复的漏洞”或“没有修复的漏洞”。
Xray的报表支持多种类型,主要包括:
[if !supportLists]· [endif]漏洞报表,提供有关制品、内部版本和软件发行版(发行包)中的漏洞信息,以及诸如易受攻击的组件、CVE记录、CVSS分数和严重性之类的标准;
[if !supportLists]· [endif]许可证合规性报表,为您提供所有组件和制品及其相关的软件许可证,使您可以验证所使用的组件和制品是否符合公司的许可证准则。它列出了与每个组件关联的所有许可证类型,以及未知和无法识别的许可证;
[if !supportLists]· [endif]违规报表,为您提供有关在选定范围内找到的每个组件的安全和许可证违规的信息,包括违规的类型、受影响的组件和制品,以及严重性。它的范围也由高级过滤器定义。
Xray报表的独特功能之一是易受攻击组件的影响路径。组件可以出现在构建镜像中的多个位置或多个构建中。Xray将向您显示易受攻击组件影响的软件的所有位置。
六、管理“假阳性”的安全噪音
JFrog Xray的忽略规则允许您设置白名单,忽略或接受安全违反规则,以过滤掉不必要的安全噪音。您可以设置规则,为不同的团队和用户忽略安全噪音。忽略原因如下:
[if !supportLists]· [endif]您已经知道该漏洞,可以对其进行防护;
[if !supportLists]· [endif]您的环境不符合此违规要求;
[if !supportLists]· [endif]该漏洞不是高危级别,稍后您将进行处理;
[if !supportLists]· [endif]停止不重要的,能够使构建失败或阻止下载的违规处理。
忽略规则功能为您提供了广泛的灵活性和精确度,使您可以忽略基于漏洞/许可证、组件、制品,或监视的违规行为。这样,您可以非常明确地了解要忽略的内容,例如,可以将其设置为特定的组件、特定的许可证,或特定的组件版本号。
您可以将忽略规则设置为在特定时间段内运行。这意味着,例如,在加快开发速度的同时,您可以在3周内忽略某些违规行为,之后将再次执行这些规则。
七、总结
这些激动人心的新功能只是我们对Xray所做的最新增强。随着DevOps安全对于企业至关重要,我们正在迅速扩展其功能。请持续关注JFrog Xray和JFrog Platform针对DevSecOps增强功能有关的重要公告!
