JFROG XRAY

エンドツーエンドのソフトウェア サプライ チェーン セキュリティ


お問い合わせ

 

XRAY の特長


一元化された可視性と制御

サードパーティ製パッケージのダウンロードの可視性と制御を一元化します。既知および未知の脅威から保護し、信頼できるパッケージのみを SDLC に許可します。

オープンソースのパッケージ カタログ

JFrog Catalog で使用するオープンソース パッケージのメタデータを調べます。バージョン履歴、セキュリティ脆弱性、OpenSSF スコア、ライセンスデータ、運用リスク、依存関係や推移的な脆弱性の有無を確認します。400 万を超える OSS パッケージがカタログ化されており、簡単に参照できます。

開発者によるスムーズなパッケージ利用

ノイズを排除し、重要なことに集中することで時間を節約できます。当社のエンジンは、(攻撃者と同じように) コードとその属性を分析することにより、CVE の適用可能性を調べます。ファーストパーティ コードが脆弱な機能を呼び出すかどうかを確認し、CVE の悪用の前提条件について追加の構成と属性をスキャンします。

サードパーティ パッケージのキュレーションを自動化する

既存のソフトウェア開発パイプラインと連携するサードパーティパッケージのシームレスに統合されたアクティブな検証により、信頼できるソフトウェア コンポーネントのソースを開発者に提供します。

改善された DevSecOps エクスペリエンス

ソフトウェア サプライ チェーンのゲートで不要な依存関係をブロックするシフトレフト アプローチにより、サードパーティのパッケージ検証のコストを削減します。透明性と説明責任により、開発チームに向けたサードパーティの構成要素の品質が保証されます。


 

XRAY の機能


JFrog Xray は多くのパッケージ タイプをサポートしているユニバーサル ソリューションです。脆弱性、ライセンス遵守、コンポーネントのバージョンなどに関する様々なメタデータのデータ ベースと統合されています。

悪意のあるパッケージの検出

パブリックリポジトリの自動スキャンに基づく、悪意のあるパッケージの検出
特定された悪意のあるパッケージから成る JFrog 独自データベースを使用して、不要または予期しないパッケージを発見して排除します。このデータベースには、グローバルソースから継続的に集約された悪意のあるパッケージ情報とともに、共通のリポジトリから研究チームによって特定された何千ものパッケージが含まれています。

運用リスク ポリシー

不要なパッケージをブロックする運用リスクポリシー
パッケージのメンテナンスの問題や技術的負債などのリスクを簡単に処理できます。メンテナンス担当者の数、メンテナンスの頻度、リリースの経過時間、コミットの数などのソフト属性に基づいてリスクしきい値を決定するポリシーを使用して、パッケージの自動ブロックを可能にします。

IDE、CLI、プルリクエストのスキャン

JFrog Platform で可能な限りシフトレフト
SDLC の早い段階でセキュリティの脆弱性とライセンス違反がないかどうかスキャンします。IDE 内で修復オプションと適用性を使用して脆弱性を確認します。CLI ツールを使用してパイプラインを自動化し、依存関係とコンテナのスキャンとオンデマンドのスキャンを行います。脅威を最小限に抑え、リスクを軽減し、迅速に修正して、コストを節約します。

ML モデルのスキャン

ML モデルの整合性とセキュリティの確保
悪意のあるモデルを検出し、ライセンス コンプライアンスを保証し、重要なコントロールを導入するシステムでモデルを管理することで、 ML、セキュリティ、DevOps チームは使用されているオープンソース モデルに自信を持ち、来るべき避けられない規制に備えることができます。

ソフトウェア構成分析

ソースコードおよびバイナリ ファイルに関するソフトウェア構成分析
オープンソースの依存関係におけるセキュリティの脆弱性とライセンスコンプライアンスの問題を特定して解決するための、DevOps 向けに最も信頼のおけるSCAソリューション。
  • 強化された CVE 検出
    バイナリ、ビルド、リリース バンドルにおける OSS セキュリティ問題を検出、優先順位付け、回避
  • FOSS ライセンス遵守
    ライセンス コンプライアンスの問題を検出、優先順位付け、回避し、遵守を加速
  • 自動 SBOM
    業界標準の SPDX、CycloneDX (VEX) の SBOM を自動的に生成してエクスポート
  • 強化された CVE データ
    JFrog セキュリティ研究チームによる注目度の高い CVE に関する最新情報

 

ユースケース

SBOM & 規制コンプライアンス

SPDX、CycloneDX、および VEX 標準フォーマットの SBOM の生成を簡素化することで、時間を節約できます。バイナリ分析により、標準のメタデータをはるかに超えた、SBOM の総合的精度を実現します。

SDLC 全体の脆弱性を完全に監視および制御することにより、規制要件を簡単に満たすことができます。悪意のあるパッケージの広範なデータベースを使用して、悪意のあるパッケージを SBOM から遠ざけます。SBOM および関連する CVE の必要に応じた公開を自動化します。

コンテナーのセキュリティ

「バイナリ内のバイナリ」やコンテーナのすべてのレイヤーを調べるなど、バイナリ レベルで分析することで、リスクを軽減します。

詳細な分析により、お使いの構成と、ファーストパーティのコードが OSS と対話する方法の中に、正確なコンテキストがあるかどうかをチェックすることで、死角を減らせます。

高度なスキャン機能を使用してセキュリティの脆弱性を特定し、コンテナー内で実際に悪用可能な脆弱性に優先的に対応することで時間を節約できます。

IAC セキュリティ

IaC 構成に問題が潜んでいないかどうか構成を早期に検証、スキャンします。クラウドやハイブリッド インフラストラクチャを悪用のリスクにさらさないよう、導入のリスクを大幅に軽減し、システムの安全性を確保します。

脆弱性管理

SDLC 全体の脆弱性を監視および制御し、自信を持ってインシデントに迅速に対応することで、規制要件を簡単に満たすことができます。

■ CVE ■
広範な調査専門知識により、特定された CVE のトリアージ、優先順位付け、軽減を行います。

■ 悪意のあるパッケージ ■
悪意のあるパッケージ検出を自動化することで AppSec チームの作業負荷を軽減し、害が及ぼされる前に阻止します。

FOSS のコンプライアンス & ライセンス遵守

■ 輸出管理 ■
製品が正しいプロジェクト、チーム、顧客、仕向地に対して承認されているライセンスのみで出荷されることを監視、管理、検証することで、リスクを軽減します。

■ FOSS ライセンスの遵守 ■
開発チームが組織を法的リスクにさらさない完全に承認されたライセンスを使用しているかどうかをチェックするライセンス遵守プロセスは以前では膨大な手作業を必要としていましたが、このプロセスを自動化することで時間を節約します。