SDLCプログラム
お客様のJFrog Platformの安全性を確保するために、当社のセキュリティチームは会社のソフトウェア開発ライフサイクル(SDLC)と統合された広範なセキュリティプログラムを実装しました。
セキュアな開発トレーニング
JFrogの研究開発チームは、よりセキュアに機能を設計し開発するための意識、知識、能力を高める関連トレーニングを定期的に受けています。
セキュリティ・チャンピオン・プログラム
JFrogの研究開発チームのセキュリティ・チャンピオンは研究開発チーム内でのアプリケーション・セキュリティ体制を確立し、アプリケーションのセキュリティ・プログラムの有効性を高めると同時に、内部チームとセキュリティリーダーとの関係を強化する責務を担っています。セキュリティ・チャンピオンズ・プログラムはセキュリティを研究開発全体に拡大し、JFrogで最高レベルのアプリケーションセキュリティの文化を構築するのに役立ちます。
セキュリティリスク分析
セキュアな設計
JFrogのセキュリティ設計のレビュープロセスの目的はJFrogアプリケーションの開発におけるセキュリティの改善点をできるだけ早く特定し、設計上の決定の誤りを防ぐことです。
JFrogのエンジニアリングチームはJFrogソフトウェア開発プロセスの初期段階から、「最小特権」や「フェイルセーフ」などのセキュアな設計原則に従っています。
脅威モデリング
脅威モデリングはJFrogのセキュアな開発ライフサイクルの中核的な要素です。これは当社のアプリケーションに影響を与える可能性のある脅威、攻撃、脆弱性、対策を特定するために採用されているエンジニアリング手法です。脅威モデリングを使用してアプリケーションの設計を行い、セキュリティ目標を満たし、セキュリティ要件を定義し、リスクを軽減します。
セキュリティテスト
静的アプリケーション・セキュリティ・テスト(SAST)または静的分析はソースコードを分析し、アプリケーションが攻撃を受けやすいセキュリティの脆弱性を見つけるテスト手法です。SASTツールはコードがコンパイルされる前にアプリケーションをスキャンします。
SASTツールは開発者がコードを記述する際にリアルタイムのフィードバックを提供し、SDLCの次のフェーズにコードを移行する前に問題を修正するのに役立ちます。これによりセキュリティ関連の問題が後回しにされることがなくなります。
DAST(動的アプリケーション・セキュリティ・テスト)ソリューションはアプリケーションの入力と出力を評価し、攻撃対象にのみ焦点を当てます。DASTソリューションは実行中のバイナリをテストして、SASTツールでは検出できない脆弱性、例えば動的に生成されたコードなどを検出します。
JFrogは開発ライフサイクルの一部としてSASTとDASTツールを組み込み、コードがチェックインされるたびに、またコードがリリースされるたびに、SASTとDASTのスキャンが実行されます。
JFrog Xray – ソフトウェア構成分析(SCA)
JFrog Xrayはユニバーサルなソフトウェア構成分析(SCA)ソリューションで、Artifactoryとネイティブに統合されており、開発者やDevSecOpsチームがバイナリを簡単にスキャンする方法を提供します。この製品はソースコードおよびライセンスのコンプライアンス違反の脆弱性を運用環境のリリースで明らかにする前に事前に特定し、独自のアプリケーション・セキュリティの価値を提供します。
JFrog XrayはJFrog Platformを継続的にスキャンしてバイナリレベルで保存されたすべてのパッケージを保護し、CICDパイプラインの一部としてセキュリティ・ワークフローを自動化することで、ソフトウェア・リリース・サイクルの早い段階での制御と信頼を実現します。
JFrog XrayはArtifactoryとネイティブに統合され、開発者によってダウンロードされたオープンソースのバイナリを含むセキュアなソフトウェア・パッケージのプライマリハブを提供します。
私たちは「シフトレフト」アプローチを強く支持しています。このアプローチではコードを運用環境に出荷する準備が整った時点ではなく、セキュリティとコンプライアンスの問題の検出と修正を早期に開始し、SDLC全体で継続します。
JFrogセキュリティチームは当社独自のJFrog Xray製品を使用して、コンテナとソフトウェアのアーティファクトの継続的な多層分析を実行し、内部CICDパイプライン全体の脆弱性とライセンス・コンプライアンスの問題を検出します。
JFrogの内部ポリシーは特定のセキュリティ脆弱性が検出された場合にビルドが失敗する原因となり、当社のエンジニアリングチームは業界標準に沿った社内SLAの条件に従って脆弱性を修正します。
JFrog製品に含まれるセキュリティの問題の公開と修正の詳細について、ご覧ください。
ペネトレーションテスト
開発のライフサイクルを完了するために製品と機能は内部的にはJFrogのアプリケーションセキュリティチームによって、外部的にはサードパーティのトップエキスパートによって、継続的にペンテストされます。
バグ報奨金
JFrogのセキュリティチームは製品のセキュリティ改善に向けた取り組みの一環として、HackerOneでホストされているプライベートなバグ報奨金プログラムとプライベートな脆弱性公開プログラムを管理しています。
セキュリティの問題をJFrogに報告する方法についてはこちらをクリックしてください。
変更管理
JFrogのセキュリティチームは高品質な製品を保証し、その品質とビジネス目標との整合性を確保するために、製品に対するすべての変更を追跡し、レビューします。JFrogのセキュリティチームは当社のセキュリティとコンプライアンスの要件を遵守するために、選択した変更に対して安全なコードレビューを実施しています。
WebアプリケーションとAPIの保護
マルチレイヤ保護のアプローチの一環として、専用のDDoS軽減エコシステムが導入されています。JFrogはAnti-DDoS保護、次世代WAF、API保護ツール、高度なレート制限、ボット保護を利用しています。
