USA / Canada 866-503-1471

International +31 85 064 4633

« Home

JFrog Curation zárt környezetekhez: Hogyan blokkoljuk a kártékony csomagokat, mielőtt bekerülnének a kódba

by

A modern szervezetek szinte minden terméket nyílt forráskódra és harmadik féltől származó függőségekre építenek. Ez felgyorsítja a fejlesztést, de kockázatot is rejt magában: kártékony csomagok (malware-ek), kritikus biztonsági résekkel rendelkező verziók, licencelési problémák, vagy kiforratlan és nem karbantartott függőségek (dependencies).

jfrog curation

A legtöbb esetben a hagyományos biztonsági eszközök csak azután találkoznak az összetevővel, hogy az már bekerült a repóba, a buildbe vagy a pipeline-ba.

Pontosan itt lép a képbe a JFrog Curation: ahelyett, hogy utólag derülne ki, hogy egy veszélyes összetevő már bekerült a szervezetbe,
a JFrog Curation a csomag lekérésének és letöltésének pontján avatkozik be, és blokkolja a problémás összetevőket, még mielőtt azok a kód, a build vagy az alkalmazás részévé válnának.

Mi az a JFrog Curation Package, és mit nyújt?

A JFrog Curation egy irányítási (governance) és házirend-érvényesítő réteg a nyílt forráskódú csomagok és harmadik féltől származó függőségek felhasználásához. Úgy is felfogható, mint egy „beléptető kapu” a külső csomagok számára: ahelyett, hogy minden függőség automatikusan bekerülne a környezetbe, a szervezet szabályokat határoz meg arról, mely csomagokat szabad letölteni, melyeket kell blokkolni, és melyek igényelnek további vizsgálatot.

A megoldás többek között az alábbiakat teszi lehetővé:

  1. Rosszindulatúnak megjelölt csomagok blokkolása.
  2. Biztonsági résekkel rendelkező verziók blokkolása súlyossági szint vagy szervezeti házirend alapján.
  3. Licencelési házirendek érvényesítése.
  4. Túl régi, kiforratlan vagy nem karbantartott csomagok használatának korlátozása.
  5. Engedélyező (allowlist) és tiltólisták (blocklist) alkalmazása szervezeti igények szerint.
  6. Rendszerezett auditnapló (audit trail) létrehozása minden blokkolási vagy engedélyezési döntésről.

Az üzleti jelentőség egyértelmű: kevesebb függőség a manuális döntésektől, kisebb a veszélyes összetevők bekerülésének kockázata, és nagyobb az ellenőrzés a szoftverellátási lánc felett.

Hogyan működik a JFrog Curation Self-Hosted / Self-Managed környezetben?

Az önállóan kezelt on-premises / Self-Hosted környezetekben a JFrog Curation integrálódik a JFrog platformmal, különösen az Artifactory-val és az Xray-jel.

A modell viszonylag egyszerű:

  1. A fejlesztők az Artifactory-n keresztül húznak le csomagokat (buildek során stb.).
  2. A JFrog Curation ellenőrzi a kérést a szervezet házirendje alapján.
  3. Ha a csomag megfelel a feltételeknek (policies), letölthető.
  4. Ha a csomag sérti a házirendet, a hozzáférés blokkolásra kerül, még mielőtt az összetevő bejutna a környezetbe.

Más szóval, ahelyett, hogy megelégednénk a letöltés utáni vizsgálattal, a szervezet egy megelőzési (prevention) mechanizmust kap már a belépés szakaszában.

Ez egy alapvető változás: kevesebb „utólagos takarítás”, több megelőzés.

Mi történik a gyakorlatban egy csomagkérés során?

Amikor egy fejlesztő, egy pipeline vagy egy build egy függőséget kér a szervezeti repón keresztül, a rendszer ellenőrzi, hogy a csomag:

  • Rosszindulatú csomagként lett-e azonosítva.
  • Tartalmaz-e biztonsági réseket a házirend szerint.
  • Megsért-e licencelési házirendeket.
  • Nem felel meg a szervezet által meghatározott egyéb belső szabályoknak.

Ha valamelyik feltétel teljesül, a letöltés blokkolható.

Bizonyos forgatókönyvek esetén lehetőség van egy megfelelőbb verzió automatikus kiválasztására is, ahelyett, hogy a teljes folyamat megszakadna.

Hogyan működik a JFrog Curation Air-Gapped környezetben?

Az Air-Gapped környezetekben a kihívás más: nincs közvetlen internetkapcsolat, ezért nem lehet a nyilvános tárolókhoz való nyílt hozzáférésre támaszkodni.

Ilyen esetekben általában egy ellenőrzött folyamattal dolgoznak, ahol a függőségeket egy külső zónába vagy DMZ-be húzzák le, átvizsgálják és jóváhagyják, és csak ezután emelik be őket az elszigetelt környezetbe.

Ebben a modellben a JFrog Curation az ellenőrzési mechanizmus részeként integrálódik:

  • A külső összetevők először egy ellenőrzött környezetbe kerülnek letöltésre.
  • Az összetevők vizsgálaton, házirend-ellenőrzésen és curation-ön esnek át.
  • Csak a jóváhagyott csomagok kerülnek be a belső repókba.
  • Az elszigetelt környezetben csak olyan összetevőkkel dolgoznak tovább, amelyek már jóváhagyást kaptak.

Így a szigetelt hálózatokon működő szervezetek is élvezhetik a nyílt forráskódú csomagok szigorú irányítását (governance), anélkül, hogy magát a környezetet kitennék az internetnek.

Hogyan akadályozza meg a JFrog Curation, hogy kártékony csomagok kerüljenek a kódba és az alkalmazásba?

A JFrog Curation egyik legnagyobb előnye, hogy nem várja meg, amíg a probléma a production környezetben jelentkezik.

Ehelyett segít azonosítani és blokkolni a veszélyes csomagokat még azelőtt, hogy a fejlesztők vagy a CI/CD folyamatok felhasználnák őket.

Ez magában foglalja a védelmet az olyan forgatókönyvek ellen, mint:

  • Szándékosan nyilvános tárolókba feltöltött kártékony csomagok.
  • Typosquatting – egy legitim csomaghoz hasonló nevű csomagok.
  • Függőségi zavar (dependency confusion).
  • Veszélyes kódot vagy gyanús viselkedést tartalmazó verziók.
  • Sebezhető verziók ismert biztonsági résekkel.

A gyakorlati jelentőség az, hogy a szervezet csökkenti annak esélyét, hogy egy kártékony összetevő bekerüljön a buildbe, beépüljön az alkalmazásba, majd később eljusson a teszt- vagy a production környezetekbe.

Hogyan javítja a biztonságot és védi a környezetet a JFrog Curation?

A JFrog Curation hozzájárulása nem merül ki a kártékony csomagok blokkolásában. Több rétegben javítja az általános védelem szintjét:

1. Korai megelőzés a kései reakció helyett

Ahelyett, hogy a veszélyes összetevőt csak azután fedeznék fel, hogy bekerült a szervezetbe, a blokkolás már a felhasználás szakaszában megtörténik.

2. Támadási felület csökkentése

Minél kevesebb problémás összetevő jut be, annál kisebb az esélye a kihasználásnak (exploitation), az adatszivárgásnak vagy az ellátási lánc sérülésének.

3. Egységes házirend-érvényesítés

Minden fejlesztőcsapat minden projektben ugyanazok alapján a szabályok alapján dolgozik. Ez különösen fontos a nagy vagy elosztott szervezetek esetében.

4. Compliance (megfelelőség) javítása

A biztonságon túl kikényszeríthető a licencelés is, a jóváhagyott verziók használata, valamint az engedélyezett és tiltott összetevőkre vonatkozó belső házirendek.

5. Átláthatóság és ellenőrzés

A rendszerezett auditnaplónak köszönhetően megérthető, hogy ki mit kért, mit blokkoltak, mit hagytak jóvá, és miért született egy-egy döntés.

Mi a helyzet a licenceléssel és az árazással?

A JFrog Curation megoldása fizetős, és általában egy szélesebb körű governance és szoftverellátási lánc biztonsági megoldás része.

A Curation költsége a felhasználók számától, a licencelés típusától, a felhasználás / telepítés mértékétől és egyéb tényezőktől függ. Pontos árakért és árajánlatért forduljon hozzánk (részletek lejjebb).

Hogyan takarít meg pénzt a JFrog Curation, és hogyan mérhető a ROI?

Hamarosan
(további részletekért addig is keressen minket e-mailben)

Összegzés:

A JFrog Curation gyakorlatias módot kínál a szervezeteknek arra, hogy ne csak utólagosan kezeljék a nyílt forráskódú szoftverek kockázatait, hanem már az összetevők környezetbe kerülésének szakaszában érvényesítsék a házirendeket. A Self-Hosted vagy Air-Gapped rendszereket használó szervezetek számára ez egy jelentős lépés a biztonság javítása, az ellátási lánc kockázatainak csökkentése, a megfelelőség megerősítése és a működési költségek hosszú távú csökkentése felé.

Ahelyett, hogy csak azután azonosítanánk a problémákat, miután már bekerültek a rendszerbe, előre megállíthatjuk őket.

Az ALM Toolbox a JFrog hivatalos képviselője, támogatást és licencelést biztosít a JFrog megoldásaihoz, beleértve az Artifactory-t, az Xray-t, a Curation-t és egyebeket. Ezenkívül infrastrukturális DevOps és DevSecOps / AppSec segítséget nyújt biztonságos ellátási láncok kiépítéséhez, kódok és alkalmazások biztonságos fejlesztéséhez, valamint a fejlesztési folyamatokhoz (SDLC / ALM) és fejlesztőeszközökhöz való kapcsolódáshoz.
További részletekért forduljon hozzánk bizalommal: jfrog@almtoolbox.com vagy telefonon: 072-240-5222

Gyakori kérdések (FAQ) a JFrog Curationről:

A JFrog Curation helyettesíti az Xray-t?

Nem. A JFrog Curationt elsősorban korai megelőzésre tervezték a csomag belépési pontjánál, míg az Xray a már rendszerben lévő összetevők folyamatos vizsgálatára, elemzésére és megfigyelésére (monitorozására) biztosít lehetőségeket.

A JFrog Curation alkalmas Self-Hosted környezethez is?

Igen. Ez az egyik legfőbb felhasználási területe, különösen azon szervezetek számára, amelyek teljes ellenőrzést igényelnek a telepítési konfiguráció, a biztonság és a governance felett.

Használható Air-Gapped környezetben is?

Igen. Ezt általában egy ellenőrzött folyamattal érik el az összetevők lehúzásával, ellenőrzésével, vizsgálatával, majd a jóváhagyott csomagok elszigetelt környezetbe történő továbbításával.

A megoldás rontja a fejlesztői élményt?

Ha a házirend megfelelően van konfigurálva, az eredmény általában pont az ellenkezője: kevesebb késői meglepetés, kevesebb időnyomás alatti függőségcsere, és nagyobb bizonyosság azzal kapcsolatban, hogy mit szabad felhasználni.

Lehetséges a licencelési házirendek érvényesítése is, nem csak a biztonság?

Igen. A JFrog Curation egyik előnye, hogy képes ötvözni a biztonsági, licencelési és governance szempontokat egy egységes szervezeti házirendbe.

Kinek különösen alkalmas ez a megoldás?

Olyan szervezeteknek, amelyek gyors ütemben fejlesztenek, sok nyílt forráskódot használnak, szabályozások alatt működnek, Self-Hosted vagy Air-Gapped környezeteket üzemeltetnek, és a lehető legkorábban szeretnék megállítani a kockázatokat.

A cikket Tamir Gefen (ALM Toolbox) írta.