17.07.2023
JFrog
Curation blockiert Open-Source-Pakete
Autor: Bernhard Lauer
jfrog.com/curation
JFrog Curation bietet eine Möglichkeit, bösartige oder riskante Open-Source-Pakete zu blockieren, bevor sie in die Software-Entwicklungspipeline gelangen.
Die Verwendung von öffentlich zugänglichen OSS-Bibliotheken hilft Anwendungsteams, Anwendungen schneller zu erstellen, birgt aber auch das Risiko, dass diese Organisationen Sicherheitslücken oder bösartigen Code einsetzen, der möglicherweise als Teil von OSS- oder kommerzieller Standardsoftware (COTS) von Drittanbietern enthalten ist. Moderne Anwendungen sind nicht immer durch Unternehmens-Firewalls und Rechenzentren geschützt, sondern befinden sich oft direkt an der Front (zum Beispiel Webanwendungen in der öffentlichen Cloud oder mobile Anwendungen) und bieten eine leicht zugängliche Angriffsfläche für Bedrohungsakteure.
Laut IDC's DevSecOps Adoption, Techniques, and Tools Survey, 2023 (IDC #US50137623, Mai 2023) waren die beiden größten Lücken in der Anwendungssicherheit in den Unternehmen die zunehmende Nutzung von Open-Source-Software in den Entwicklungsteams (30,9 Prozent) und eine anfällige Software-Lieferkette (28,9 Prozent).
JFrog Curation bietet eine Möglichkeit, bösartige oder riskante Open-Source-Pakete zu blockieren, bevor sie in die Software-Entwicklungspipeline gelangen. Es wurde entwickelt, um Entwicklern, Sicherheitsverantwortlichen und DevSecOps-Ingenieuren folgendes zu ermöglichen:
- Open-Source-Softwarekomponenten zu prüfen und zu blockieren, ohne die Entwicklererfahrung oder Geschwindigkeit zu beeinträchtigen.
- Zentrale Sichtbarkeit und Governance jedes Open-Source-Pakets, das von einem Entwickler oder Build-Tool angefordert wird, mit metadatenbasierten Einblicken in alle infizierten Pakete und mit umsetzbaren Ratschlägen zur Behebung.
- Erstellen eines transparenten Prüfplans, um Unternehmen bei der Einhaltung aktueller und neuer gesetzlicher Vorschriften zu unterstützen.
- Optimierung der Arbeit von Entwicklern durch reibungslosen, validierten Abruf von Softwarekomponenten.
- Die Integration in die JFrog Software Supply Chain Plattform, die konsistente, automatisierte Prozesse über Entwicklungsumgebungen hinweg ermöglicht, vermeidet die unkontrollierte Ausbreitung verschiedener Tool-Suiten.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
SIP-Trunk
Herweck und Xelion vertiefen Kooperation
Schon seit längerer Zeit vermarktet Herweck die Cloud-PBX von Xelion. Nun bietet der Distributor dazu auch seinen eigenen SIP-Trunk Calamar an.
>>
VS Code Windows und Mac
Brauchbare Alternative
Das C# Dev Kit for Visual Studio Code könnte eine Alternative für Entwickler sein, die weiterhin macOS nutzen möchten. Unser Schwesterportal dotnetpro hat es auf den Prüfstand gestellt.
>>
Google I/O 2024
Google Gemini ermöglicht mehr Funktionen und Individualität
Der große Star bei der diesjährigen Google-Entwicklerkonferenz I/O war Gemini. Die KI-Technologie hält Einzug in diverse Anwendungen und bietet neue Möglichkeiten bei der Entwicklung und Nutzung bekannter und neuer Google-Apps.
>>