Programme SSDLC
Afin de garantir la sécurité de la Plateforme JFrog pour nos clients, notre équipe chargée de la sécurité a mis en place un vaste programme qui s’intègre au cycle de vie du développement logiciel (SSDLC) de l’entreprise.
Formation au Développement Sécurisé
Les équipes de R&D de JFrog suivent régulièrement des formations concrètes qui renforcent leur sensibilisation, leurs connaissances et leurs capacités à concevoir et à développer des fonctionnalités de manière plus sûre.
Programme « Experts de la Sécurité »
Les experts de la sécurité de la R&D de JFrog sont chargés de motiver la préoccupation autour de la sécurité des applications au sein des équipes de R&D et d’optimiser l’efficacité du programme de sécurisation des applications de JFrog, tout en renforçant les relations entre les équipes internes et les responsables de la sécurité. Le programme « Experts de la sécurité » permet d’étendre la sécurité à l’ensemble de la R&D et de contribuer à l’instauration d’une culture de la sécurité de premier ordre pour les applications chez JFrog.
Analyse des Risques de Sécurité
Conception Sécurisée
Pour JFrog, l’objectif du processus de révision de la conception de la sécurité est l’identification précoce des améliorations en matière de sécurité pour le développement des applications JFrog, afin d’éviter des décisions de conception faibles.
Les équipes d’ingénierie de JFrog suivent des principes de conception sécurisés, tels que le « moindre privilège » et la « sécurité intégrée » (fail-safe), dès les premières étapes du processus de développement des logiciels de JFrog.
Modélisation des Menaces
La modélisation des menaces est un élément central du cycle de vie de développement sécurisé de JFrog. Il s’agit d’une technique d’ingénierie qui nous permet d’identifier les menaces, les attaques, les vulnérabilités et les contre-mesures susceptibles d’avoir un impact sur nos applications. Nous utilisons la modélisation des menaces pour façonner la conception de nos applications, atteindre nos objectifs de sécurité, définir les exigences en la matière et réduire les risques.
Tests de Sécurité
Le test de sécurité statique des applications (SAST), ou analyse statique, est une méthodologie de vérification qui analyse le code source pour détecter les failles de sécurité qui rendent les applications vulnérables aux attaques. Les outils SAST analysent une application avant la compilation du code.
Les outils SAST fournissent aux développeurs des commentaires en temps réel pendant le codage, ce qui les aide à résoudre les problèmes avant de passer à la phase suivante du cycle de développement logiciel. Cela permet d’éviter que les questions de sécurité ne soient traitées après coup.
Les solutions DAST (Tests dynamiques de sécurité des applications) évaluent les entrées et les sorties des applications, en se concentrant uniquement sur la surface d’attaque. Les solutions DAST testent l’exécution de binaires pour détecter des vulnérabilités que les outils SAST ne peuvent pas trouver, notamment celles situées dans le code généré dynamiquement.
JFrog a intégré les outils SAST et DAST dans son cycle de développement et exécute des analyses SAST et DAST chaque fois que le code est enregistré, ainsi que lors de sa publication.
JFrog Xray – Analyse de la Composition des Logiciels (SCA)
JFrog Xray est une solution universelle d’analyse de la composition des logiciels (SCA) qui s’intègre de façon native à Artifactory, pour permettre aux développeurs et aux équipes DevSecOps d’analyser facilement les fichiers binaires. Elle identifie de manière proactive les vulnérabilités du code source et les violations de la conformité des licences avant qu’elles ne se manifestent dans les versions de production, offrant ainsi une valeur ajoutée unique en matière de sécurité des applications.
JFrog Xray analyse en permanence la Plateforme JFrog, pour sécuriser tous les packages stockés au niveau binaire. En outre, il contribue à garantir un contrôle et une confiance précoces dans les cycles de publication des logiciels, au moyen de l’automatisation des workflow de sécurité dans le cadre de notre pipeline CI/CD.
JFrog Xray s’intègre de façon native à Artifactory pour disposer d’un hub principal pour les paquets logiciels sécurisés, qui comprennent des fichiers binaires open-source téléchargés par les développeurs.
Nous croyons fermement à l’approche « décalage à gauche », selon laquelle la détection et la correction des problèmes de sécurité et de conformité commencent tôt et se poursuivent tout au long du cycle de développement logiciel, et non lorsque le code est prêt à être envoyé en production.
Grâce à notre solution interne JFrog Xray, l’équipe de sécurité de JFrog effectue une analyse continue et multicouche de nos conteneurs et artefacts logiciels, afin de détecter les vulnérabilités et les problèmes de conformité en matière de licences sur l’ensemble de notre pipeline CI/CD interne.
La politique interne de JFrog provoque l’échec des builds lorsque certaines failles de sécurité sont détectées, et nos équipes d’ingénieurs remédient aux vulnérabilités conformément aux termes de notre SLA interne, qui est aligné sur les normes du secteur.
En savoir plus sur la divulgation et la résolution des problèmes de sécurité qui ont été détectés dans les produits JFrog.
Tests de Pénétration
Pour compléter le cycle de vie de notre développement, nos produits et fonctionnalités sont vérifiés en permanence, à la fois en interne, par l’équipe de sécurité des applications de JFrog, et en externe, par des experts tiers de haut niveau.
Bug bounty
L’équipe de sécurité de JFrog gère des programmes privés de primes aux bogues et de divulgation de vulnérabilités, hébergés sur HackerOne, dans le cadre de notre engagement à améliorer la sécurité de nos produits.
Cliquez ici en savoir plus sur la façon de signaler les problèmes de sécurité à JFrog.
Gestion du Changement
L’équipe de sécurité de JFrog suit et examine toutes les modifications apportées à nos produits, afin de garantir leur haute qualité et leur conformité avec nos objectifs commerciaux. L’équipe de sécurité de JFrog effectue des révisions de code sécurisées sur des changements sélectifs, afin de respecter nos exigences en matière de sécurité et de conformité.
Protection des Applications Web et des API
Dans le cadre de notre approche de protection multicouche, un écosystème dédié à la mitigation des attaques DDoS a été mis en place. JFrog utilise une protection anti-DDoS, un WAF de nouvelle génération, un outil de protection D’API, une limitation de débit avancée et une protection contre les bots.
