JFrog Curation לסביבות סגורות: איך חוסמים חבילות זדוניות לפני שהן נכנסות לקוד

Getting your Trinity Audio player ready...

ארגונים מודרניים בונים כמעט כל מוצר על בסיס קוד פתוח ותלויות צד שלישי. זה מאיץ פיתוח, אבל גם מכניס מימד של סיכון: חבילות זדוניות (malwares), גרסאות עם חולשות אבטחה קריטיות, בעיות רישוי או dependencies לא בשלים ולא מתוחזקים.

ברוב המקרים, כלי אבטחה מסורתיים פוגשים את הרכיב רק אחרי שהוא כבר נכנס ל-repository, ל-build או ל-pipeline.

כאן בדיוק נכנס לתמונה JFrog Curation : במקום לגלות בדיעבד שרכיב מסוכן כבר נכנס לארגון,
JFrog Curation פועל בנקודת הבקשה וההורדה של החבילה, וחוסם רכיבים בעייתיים עוד לפני שהם הופכים לחלק מהקוד, מה-build או מהאפליקציה.

מהו JFrog Curation Package ומה הוא מספק?

JFrog Curation הוא שכבת governance ואכיפת מדיניות לצריכת חבילות קוד פתוח ותלויות צד שלישי. אפשר לחשוב עליו כעל “שער כניסה” לחבילות חיצוניות: במקום שכל dependency ייכנס אוטומטית לסביבה, הארגון מגדיר כללים שקובעים אילו חבילות מותר להוריד, אילו צריך לחסום, ואילו דורשות בדיקה נוספת.

הפתרון מאפשר, בין היתר:

1. לחסום חבילות שסומנו כזדוניות.
2. לחסום גרסאות עם חולשות אבטחה לפי רמת חומרה או מדיניות ארגונית.
3. לאכוף מדיניות רישוי.
4. להגביל שימוש בחבילות ישנות מדי, לא בשלות או לא מתוחזקות.
5. להפעיל allowlist ו-blocklist לפי צרכים ארגוניים.
6. לייצר audit trail מסודר לכל החלטת חסימה או אישור.

המשמעות העסקית ברורה: פחות תלות בהחלטות ידניות, פחות סיכון לכניסת רכיבים מסוכנים, ויותר שליטה על שרשרת האספקה של התוכנה.

איך JFrog Curation עובד בסביבת Self-Hosted / Self-Managed?

בסביבות on-premises / Self-hosted שמנוהלות עצמאית, JFrog Curation משתלב עם פלטפורמת JFrog, ובפרט עם Artifactory ו-Xray.

המודל פשוט יחסית:

1. המפתחים/ות מושכים חבילות דרך Artifactory (במהלך builds ועוד).
2. JFrog Curation בודק את הבקשה מול מדיניות הארגון.
3. אם החבילה עומדת בתנאים (policies) – היא מותרת להורדה.
4. אם החבילה מפרה את המדיניות, הגישה נחסמת לפני שהרכיב נכנס לסביבה.

במילים אחרות, במקום להסתפק בסריקה לאחר ההורדה, הארגון מקבל מנגנון מניעה (prevention) כבר בשלב הכניסה.

זהו שינוי מהותי: פחות “ניקוי אחרי”, יותר מניעה מראש.

מה קורה בפועל בזמן בקשה לחבילה?

כאשר מפתח/ת, pipeline או build מבקש dependency דרך repository ארגוני, המערכת בודקת אם החבילה:

• זוהתה כחבילה זדונית.
• מכילה חולשות אבטחה לפי המדיניות.
• מפרה מדיניות רישוי.
• אינה עומדת בכללים פנימיים נוספים שהארגון הגדיר.

אם אחד התנאים מתקיים, ניתן לחסום את ההורדה.

בחלק מהתרחישים ניתן גם לאפשר בחירה אוטומטית של גרסה תואמת יותר, במקום להפיל את כל התהליך.

איך JFrog Curation עובד בסביבת Air-Gapped?

בסביבות Air-gapped האתגר שונה: אין חיבור ישיר לאינטרנט, ולכן לא ניתן להסתמך על גישה פתוחה למאגרים ציבוריים.

במצבים כאלה נהוג לעבוד עם תהליך מבוקר שבו dependencies נמשכים לאזור חיצוני או ל-DMZ, נבדקים ומאושרים, ורק לאחר מכן מקודמים פנימה אל הסביבה המבודדת.

במודל הזה, JFrog Curation משתלב כחלק ממנגנון הבקרה:

• רכיבים חיצוניים נמשכים תחילה לסביבה מבוקרת.
• הרכיבים עוברים סריקה, בדיקות מדיניות ו-curation.
• רק חבילות מאושרות מקודמות פנימה ל- repositories הפנימיים.
• בתוך הסביבה המבודדת ממשיכים לעבוד רק עם רכיבים שכבר עברו אישור.

כך גם ארגונים שפועלים ברשתות מבודדות יכולים ליהנות מ-governance הדוק על חבילות קוד פתוח, בלי לחשוף את הסביבה עצמה לאינטרנט.

איך JFrog Curation מונע מחבילות זדוניות להיכנס לקוד ולאפליקציה?

אחד היתרונות הגדולים של JFrog Curation הוא שהוא לא מחכה שהבעיה תופיע ב-production.

במקום זאת, הוא מסייע לזהות ולחסום חבילות מסוכנות כבר לפני שהן נצרכות על ידי המפתחים או על ידי תהליכי CI/CD.

זה כולל הגנה מפני תרחישים כמו:

• חבילות זדוניות שהועלו בכוונה למאגרים ציבוריים.
• typosquatting – חבילות עם שם דומה לחבילה לגיטימית.
• dependency confusion.
• גרסאות עם קוד מסוכן או התנהגות חשודה.
• גרסאות פגיעות עם חולשות ידועות.

המשמעות המעשית היא שהארגון מקטין את הסיכוי שרכיב זדוני ייכנס ל-build, יוטמע באפליקציה ויגיע בהמשך גם לסביבות בדיקות או production.

איך JFrog Curation משפר אבטחה ומגן על הסביבה?

התרומה של JFrog Curation לא מסתכמת רק בחסימת חבילות זדוניות. הוא משפר את רמת ההגנה הכוללת בכמה שכבות:

1. מניעה מוקדמת במקום תגובה מאוחרת

במקום לגלות רכיב מסוכן לאחר שכבר נכנס לארגון, החסימה מתבצעת עוד בשלב הצריכה.

2. צמצום משטח התקיפה

ככל שפחות רכיבים בעייתיים נכנסים פנימה, כך קטן הסיכון ל-exploitation, לדלף מידע או לפגיעה בשרשרת האספקה.

3. אכיפת מדיניות אחידה

כל צוותי הפיתוח, בכל הפרויקטים, עובדים לפי אותם כללים. זה חשוב במיוחד בארגונים גדולים או מבוזרים.

4. שיפור compliance

מעבר לאבטחה, אפשר לאכוף גם רישוי, שימוש בגרסאות מאושרות ומדיניות פנימית לגבי רכיבים מותרים ואסורים.

5. שקיפות ובקרה

עם audit trail מסודר אפשר להבין מי ביקש מה, מה נחסם, מה אושר, ולמה התקבלה כל החלטה.

מה לגבי רישוי ותמחור?

פתרון Curation של Jfrog מגיע בתשלום, והוא בד"כ חלק מפתרון רחב יותר של governance ואבטחת software supply chain.

עלות Curation תלויה בכמות המשתמשים, סוג הרישוי, היקשף השימוש / פריסה ועוד. לקבלת מחירים מדוייקים והצעת מחיר ניתן לפנות אלינו (הפרטים בהמשך).

איך JFrog Curation חוסך כסף ואיך מודדים ROI?

בקרוב
(ניתן לפנות אלינו בינתיים במייל לפרטים נוספים)

לסיכום:

JFrog Curation נותן לארגונים דרך מעשית להפסיק לנהל סיכוני קוד פתוח רק בדיעבד, ולהתחיל לאכוף מדיניות כבר בשלב הכניסה של הרכיב לסביבה. עבור ארגונים עם Self-Hosted או Air-Gapped, זהו מהלך משמעותי לשיפור האבטחה, צמצום סיכוני supply chain, חיזוק compliance והקטנת עלויות תפעוליות לאורך זמן.

במקום לאתר בעיות רק אחרי שהן כבר בפנים, אפשר לעצור אותן מראש.

חברת ALM Toolbox היא הנציגה הרשמית של חברת Jfrog, ומספקת תמיכה ורישוי לפתרונות Jfrog, כולל Artifactory, Xray, Curation ועוד, כמו גם סיוע DevOps תשתיתי ו- DevSecOps / AppSec לבניית שרשרת אספקה מאובטחת עבור בניית קוד ואפליקציה מאובטחים וחיבור לתהליכי פיתוח (SDLC / ALM) וכלי פיתוח.
לפרטים נוספים ניתן לפנות אלינו: jfrog@almtoolbox.com או טלפונית 072-240-5222

שאלות נפוצות (FAQ) על JFrog Curation :

האם JFrog Curation מחליף את Xray?

לא. JFrog Curation מיועד בעיקר למניעה מוקדמת בנקודת הכניסה של החבילה, בעוד Xray מספק יכולות סריקה, ניתוח וניטור מתמשך של רכיבים שכבר נמצאים במערכת.

האם JFrog Curation מתאים גם לסביבת Self-Hosted?

כן. זהו אחד מתרחישי השימוש המרכזיים שלו, במיוחד בארגונים שצריכים שליטה מלאה על תצורת הפריסה, אבטחה ו-governance.

האם אפשר להשתמש בו גם ב-Air-Gapped?

כן. בדרך כלל זה נעשה באמצעות תהליך מבוקר של משיכת רכיבים, בדיקה, סריקה וקידום חבילות מאושרות לתוך הסביבה המבודדת.

האם הפתרון פוגע בחוויית המפתחים?

כאשר המדיניות מוגדרת נכון, התוצאה בדרך כלל הפוכה: פחות הפתעות מאוחרות, פחות החלפות dependency בלחץ זמן, ויותר ודאות לגבי מה מותר לצרוך.

האם אפשר לאכוף גם מדיניות רישוי ולא רק אבטחה?

כן. אחד היתרונות של JFrog Curation הוא האפשרות לשלב בין שיקולי אבטחה, רישוי, governance ומדיניות ארגונית אחידה.

למי הפתרון הזה מתאים במיוחד?

לארגונים שמפתחים בקצב גבוה, צורכים הרבה קוד פתוח, עובדים תחת רגולציה, מפעילים Self-Hosted או Air-Gapped, ורוצים לעצור סיכונים מוקדם ככל האפשר.

המאמר נכתב ע"י תמיר גפן, ALM Toolbox .