张鹏-为金融企业解锁下一代安全产品库

为金融企业解锁下一代安全产品库 JFrog解决方案架构师-张鹏 软件供应链安全背景1 金融行业需求特点和实践案例分享2 JFrog解锁新一代供应链加速和安全功能特性3 1 .软件供应链安全背景 软件供应链攻击上涨1 00倍 开发者是其明确目标 但他们厌倦了安全 CVE的发布率正在增加 对开发和安全团队产生持续压力 然而通用组件中的关键CVE 然而关键CVE在通用组件中可以有没有真正的安全影响 超过200亿安装 然而关键CVE在通用组件中可以有没有真正的安全影响 许多关键CVE在常见的组件有 99%的情况下都不可利用 1 20,000个二进制文件0个可利用的案例 当开发者陷入困境时，攻击者却想出了办法新的攻击 滥用二进制文件中的秘密泄露到公共存储库 机器学习模型可能会导致恶意代码执行当开发人员/数据科学家加载时公共存储库对于模型现在是一个目标这些恶意模型看起来完全安全在HuggingFace网站上 机器学习模型？ 又一个恶意软件包！ 一个所谓的合法模型-只是数据，对吧？ 然而，当模型加载时，恶意代码就会执行 如何执行？恶意代码隐藏在二进制数据中 攻击者正在利用生成人工智能进行注入恶意软件包 现在，即使是生成人工智能也会引入安全漏洞！ 2.金融行业需求特点和实践案例分享 金融行业制品库痛点 4，两地三中心容灾异地容灾SLA：99.999%双活，异地多活 1，唯一可信来源容器依赖交付物办公软件/其他制品 5，多中心分散多开发环境环球团队 2，安全SCA开源治理供应链风险 6，7*24技术支持，驻场服务定制服务二开运维DevOps成熟度评估 3，环境隔离DMZ、开发、生产网络隔离 某银行案例 某银行案例 某证卷案例-唯一可信源需求 某证卷案例-制品可信治理 某证卷案例-快速定位影响范围 3.JFrog解锁新一代供应链加速和安全功能特性 OSS软件包数量大且无法控制 使用依赖包安全吗？ 漏洞？恶意？许可证？可维护？ 软件供应链目前的方法 引入运行开发部署打包晋级分发 JFrogCuration 收益WITHJFrog CURATION 集中可见性和控制第三方(OSS)软件包下载量 通过主动预防和阻止恶意和不需要的包，开发人员无阻碍地使用包 自动管理第3方包为您的开发人员提供值得信赖的软件组件来源 改善DevSecOps体验并实现成本节约在您的SDLC中实现无缝集成并减少后期修复 JFROG CURATION现在解锁 支持于SAAS和私有化部署 支持的策略规则 jfrog.com/curation 由JFrog安全研究和工程团队提供支持 解锁JFROG CATALOG JFROG CATALOG OSS软件包的“Google搜索”可供开发人员、DevOps工程师、AppSec等使用。 应用与自动化通过GraphQL 一切都与数据有关以及它如何跨多个用例集成 即将推出–私人目录使用外部/私有源启用自定义属性 JFROG CATALOG现在解锁 支持于网络应用程序+ GRAPHQL支持 jfrog.com/catalog 解锁JFrogSAST JFrog SAST现在解锁 平台支持 Jfrog.com/xray 目前可用 ▪Artifact▪Build▪ReleaseBundle 解锁SECURITYINSIGHTS 即将推出▪Repository▪Project THANKS！