helping to deliver secure software updates from code to the edge.
You have been redirected to the JFrog website
JFrog Security Essentials (Xray)
進化するソフトウェアアーティファクトのための最新のSCA
ソフトウェア構成分析
悪意のあるパッケージの検出
運用リスクポリシー
IDE、CLI、プルリクエストのスキャン
ソースコードおよびバイナリファイルに関するソフトウェア構成分析
オープンソースの依存関係におけるセキュリティの脆弱性とライセンスコンプライアンスの問題を特定して解決するための、DevOps向けに最も信頼のおけるSCAソリューション。
- 強化されたCVE検出 - バイナリ、ビルド、リリースバンドルにおけるOSSセキュリティ問題を検出、優先順位付け、回避
- FOSSライセンス遵守 - ライセンスコンプライアンスの問題を検出、優先順位付け、回避し、遵守を加速
- 自動SBOM - 業界標準のSPDX、CyloneDX (VEX) のSBOMを自動的に生成してエクスポート
-
強化されたCVEデータ -
JFrogセキュリティの研究チームによる注目度の高いCVEに関する最新の専有情報
パブリックリポジトリの自動スキャンに基づく、悪意のあるパッケージの検出
特定された悪意のあるパッケージから成るJFrog独自データベースを使用して、不要または予期しないパッケージを発見して排除します。このデータベースには、グローバルソースから継続的に集約された悪意のあるパッケージ情報とともに、共通のリポジトリから研究チームによって特定された何千ものパッケージが含まれています。
不要なパッケージをブロックする運用リスクポリシー
パッケージのメンテナンスの問題や技術的負債などのリスクを簡単に処理できます。メンテナンス担当者の数、メンテナンスの頻度、リリースの経過時間、コミットの数などのソフト属性に基づいてリスクしきい値を決定するポリシーを使用して、パッケージの自動ブロックを可能にします。
JFrog開発者ツールで可能な限りシフトレフト
開発者向けのツールを使用して、SDLCの早い段階でセキュリティの脆弱性とライセンス違反がないかどうか、パッケージをスキャンします。IDE内で修復オプションと適用可能性コンテキストを使用して脆弱性を確認します。CLIツールを使用してパイプラインを自動化し、依存関係とコンテナの脆弱性スキャンとオンデマンドの脆弱性スキャンを実行します。早期にスキャンして、脅威を最小限に抑え、リスクを軽減し、迅速に修正して、コストを節約します。
ソースコードおよびバイナリファイルに関するソフトウェア構成分析
オープンソースの依存関係におけるセキュリティの脆弱性とライセンスコンプライアンスの問題を特定して解決するための、DevOps向けに最も信頼のおけるSCAソリューション。
- 強化されたCVE検出 - バイナリ、ビルド、リリースバンドルにおけるOSSセキュリティ問題を検出、優先順位付け、回避
- FOSSライセンス遵守 - ライセンスコンプライアンスの問題を検出、優先順位付け、回避し、遵守を加速
- 自動SBOM - 業界標準のSPDX、CyloneDX (VEX) のSBOMを自動的に生成してエクスポート
-
強化されたCVEデータ -
JFrogセキュリティの研究チームによる注目度の高いCVEに関する最新の専有情報
パブリックリポジトリの自動スキャンに基づく、悪意のあるパッケージの検出
特定された悪意のあるパッケージから成るJFrog独自データベースを使用して、不要または予期しないパッケージを発見して排除します。このデータベースには、グローバルソースから継続的に集約された悪意のあるパッケージ情報とともに、共通のリポジトリから研究チームによって特定された何千ものパッケージが含まれています。
不要なパッケージをブロックする運用リスクポリシー
パッケージのメンテナンスの問題や技術的負債などのリスクを簡単に処理できます。メンテナンス担当者の数、メンテナンスの頻度、リリースの経過時間、コミットの数などのソフト属性に基づいてリスクしきい値を決定するポリシーを使用して、パッケージの自動ブロックを可能にします。
JFrog開発者ツールで可能な限りシフトレフト
開発者向けのツールを使用して、SDLCの早い段階でセキュリティの脆弱性とライセンス違反がないかどうか、パッケージをスキャンします。IDE内で修復オプションと適用可能性コンテキストを使用して脆弱性を確認します。CLIツールを使用してパイプラインを自動化し、依存関係とコンテナの脆弱性スキャンとオンデマンドの脆弱性スキャンを実行します。早期にスキャンして、脅威を最小限に抑え、リスクを軽減し、迅速に修正して、コストを節約します。
JFrog Advanced Security
実世界のリスク分析のためのディープスキャンと包括的なソフトウェアサプライチェーンセキュリティエクスポージャーの検出
コンテキスト
分析
分析
シークレット
検出
検出
アプリケーション
ライブラリの誤用
ライブラリの誤用
サービス構成の
セキュリティ
セキュリティ
IaC
セキュリティ
セキュリティ
実世界の悪用可能性とCVEの適用可能性を組み合わせた詳細なコンテキスト分析
ノイズを排除し、最も重要なことに集中することで時間を節約できます。当社のコンテキスト分析エンジンは、攻撃者と同じように、コードとその属性を分析することにより、特定されたCVEの適用可能性を調べます。ファーストパーティコードが特定のCVEに関連付けられた脆弱な機能を呼び出すかどうかを確認します。また、CVE悪用の前提条件がないかどうか、追加の構成とファイル属性をスキャンします。
定義済みのパターンとヒューリスティックに基づくソースコードとバイナリファイルのシークレット検出
コンテナやその他のアーティファクトに格納されたキーまたは認証情報を公開したかどうかを把握していますか?JFrogのシークレット検出は、既知の構造と完全にランダムな認証情報を検索し(疑わしい変数一致を使用)、誤検出を最小限に抑えます。
セキュリティの露出につながる一般的なアプリケーションライブラリの誤用を特定する
ソフトウェアを攻撃に対して脆弱にする可能性のあるOSSライブラリの誤用を特定します。JFrogの最先端のセキュリティエンジンにより、表面的なレベルを超えて、一般的なOSSライブラリの構成や使用方法をスキャンすることができます。
セキュリティの露出につながる一般的なサービスの構成ミスを特定する
ソフトウェアを攻撃に対して脆弱にする可能性のある構成ミスを特定します。従来のアプリケーションセキュリティソリューションでは、この重要な側面が見落とされがちですが、JFrogの最先端のセキュリティエンジンを使用すると、Django、Flask、Apache、Nginxなどの一般的なサービスの構成を表面レベルよりも深くスキャンすることができます。
IaCのセキュリティ露出を特定する
クラウドへの導入を安全に保つために重要な構成を確認して、IaCファイルを保護します。JFrogのIaCセキュリティスキャナーは、IaCセキュリティに対する包括的でプロアクティブなソリューションを提供します。
実世界の悪用可能性とCVEの適用可能性を組み合わせた詳細なコンテキスト分析
ノイズを排除し、最も重要なことに集中することで時間を節約できます。当社のコンテキスト分析エンジンは、攻撃者と同じように、コードとその属性を分析することにより、特定されたCVEの適用可能性を調べます。ファーストパーティコードが特定のCVEに関連付けられた脆弱な機能を呼び出すかどうかを確認します。また、CVE悪用の前提条件がないかどうか、追加の構成とファイル属性をスキャンします。
定義済みのパターンとヒューリスティックに基づくソースコードとバイナリファイルのシークレット検出
コンテナやその他のアーティファクトに格納されたキーまたは認証情報を公開したかどうかを把握していますか?JFrogのシークレット検出は、既知の構造と完全にランダムな認証情報を検索し(疑わしい変数一致を使用)、誤検出を最小限に抑えます。
セキュリティの露出につながる一般的なアプリケーションライブラリの誤用を特定する
ソフトウェアを攻撃に対して脆弱にする可能性のあるOSSライブラリの誤用を特定します。JFrogの最先端のセキュリティエンジンにより、表面的なレベルを超えて、一般的なOSSライブラリの構成や使用方法をスキャンすることができます。
セキュリティの露出につながる一般的なサービスの構成ミスを特定する
ソフトウェアを攻撃に対して脆弱にする可能性のある構成ミスを特定します。従来のアプリケーションセキュリティソリューションでは、この重要な側面が見落とされがちですが、JFrogの最先端のセキュリティエンジンを使用すると、Django、Flask、Apache、Nginxなどの一般的なサービスの構成を表面レベルよりも深くスキャンすることができます。
IaCのセキュリティ露出を特定する
クラウドへの導入を安全に保つために重要な構成を確認して、IaCファイルを保護します。JFrogのIaCセキュリティスキャナーは、IaCセキュリティに対する包括的でプロアクティブなソリューションを提供します。
当社の製品は他社の製品とどう違うのでしょうか?
コードだけでなく
バイナリも
セキュリティ研究主導
制御と保護:1つのプラットフォーム
本番環境のコンテキストでソフトウェアを継続的に分析します。ソースコードからバイナリに至るエンドツーエンドのスキャンは、常に進化する最新のソフトウェアアーティファクトを保護するのに役立ちます。バイナリはソフトウェアサプライチェーン全体で攻撃されるものであるため、単純なバイナリだけでなく「バイナリのバイナリ」であるイメージをもスキャンすることで、ソースコード分析だけでは発見されない死角を明らかにし、要塞化することができます。
業界をリードするJFrogセキュリティ研究部門は、ソフトウェアの脆弱性の発見と修復における世界トップクラスの専門家で構成されています。つまり、JFrog製品は、ゼロデイ、CVE、悪意のあるパッケージ、その他の種類のエクスポージャーに関する非常に詳細で徹底的に分析された情報で継続的かつ独自に更新されているということです。毎年何百もの出版物をリリースしている私たちの研究チームは、発見とスマートな対応で業界をリードしています。私たちの研究部門の詳細については、research.jfrog.comをご覧ください。
JFrogはソフトウェアサプライチェーン管理のパイオニアであり、すべてのソフトウェアアーティファクトを1つのポイントから制御できます。パイプライン内のすべてのアセットを理解することで、JFrogスキャナーはより豊富なデータを独自に可視化し、より正確な結果とより包括的なコンテキストを提供して、プロセス全体にわたってリスクベースのスムーズな修復を可能にします。サプライチェーン自体のセキュリティと管理の独自の組み合わせにより、統合の所有権と無数のポイントソリューションが排除されます。
コードだけでなく
バイナリも
本番環境のコンテキストでソフトウェアを継続的に分析します。ソースコードからバイナリに至るエンドツーエンドのスキャンは、常に進化する最新のソフトウェアアーティファクトを保護するのに役立ちます。バイナリはソフトウェアサプライチェーン全体で攻撃されるものであるため、単純なバイナリだけでなく「バイナリのバイナリ」であるイメージをもスキャンすることで、ソースコード分析だけでは発見されない死角を明らかにし、要塞化することができます。
セキュリティ研究主導
業界をリードするJFrogセキュリティ研究部門は、ソフトウェアの脆弱性の発見と修復における世界トップクラスの専門家で構成されています。つまり、JFrog製品は、ゼロデイ、CVE、悪意のあるパッケージ、その他の種類のエクスポージャーに関する非常に詳細で徹底的に分析された情報で継続的かつ独自に更新されているということです。毎年何百もの出版物をリリースしている私たちの研究チームは、発見とスマートな対応で業界をリードしています。私たちの研究部門の詳細については、research.jfrog.comをご覧ください。
制御と保護:1つのプラットフォーム
JFrogはソフトウェアサプライチェーン管理のパイオニアであり、すべてのソフトウェアアーティファクトを1つのポイントから制御できます。パイプライン内のすべてのアセットを理解することで、JFrogスキャナーはより豊富なデータを独自に可視化し、より正確な結果とより包括的なコンテキストを提供して、プロセス全体にわたってリスクベースのスムーズな修復を可能にします。サプライチェーン自体のセキュリティと管理の独自の組み合わせにより、統合の所有権と無数のポイントソリューションが排除されます。
JFrogセキュリティが一般的なASTおよびAppSecソリューションとどう違うのかと疑問に思っていますか?
JFrogとSCA、IaC、コンテナと構成のセキュリティ、シークレット検出などの比較をご覧ください。
JFrogとSCA、IaC、コンテナと構成のセキュリティ、シークレット検出などの比較をご覧ください。
お客様が JFrogを信頼する理由
「ほとんどの大企業には複数のサイトがあり、そのような企業にとっては、全サイトにわたって認証とアクセス許可を効率的に管理することが不可欠です。JFrog Enterprise+では理想的なセットアップを実現できるため、最初から厳しい要件を満たすことができます。Access Federationなどの高度な機能により、事業所間でユーザー、アクセス許可、グループを同期させて、オーバーヘッドを減らすことができます。」
Siva Mandadi
DevOps - Mercedes、Autonomous Driving部門
「JFrog Enterprise+は、開発者の生産性を向上させ、フラストレーションを解消します。JFrog Distributionは、基本的にはCDNオンプレミスであり、ソフトウェアを信頼性の高い方法で遠隔にある事業所に配信できます。一方、JFrog Access Federationを使用すると、認証情報、アクセス、グループメンバーを事業所間で簡単に共有できます。」
Artem Semenov
Align Technology
DevOps and Tooling部門シニアマネージャー
DevOps and Tooling部門シニアマネージャー
「15か月のサイクルではなく、リクエストに応じて事実上すぐにリリースできるようになりました。」
Martin Eggenberger
Monster
チーフアーキテクト
チーフアーキテクト
「DevOpsエンジニアとしての長年の経験で、企業のインベントリにある膨大な種類の(レガシーと新規)のパッケージを追跡することが、いかに難しいかを知っています。JFrogは、当社のチームをサポートし、効率的で運用し続けるために、常に驚異的な仕事をしてきました。JFrogの出番により、チームは帰宅することさえできるのですから。うれしいことに、AWSのインフラストラクチャもサポートしているため、現在そして将来に向け、ビジネスの需要がある場所であればどこでも自信を持って開発および配信できると確信しています。」
Joel Vasallo
Redbox
Cloud DevOps部門責任者
Cloud DevOps部門責任者
「Artifactoryの機能は、今日私たちができることを可能にします。Xrayでは、(セキュリティは)非常に簡単です。組み込み済みなので、電源を入れるだけです。一日中使えます。」
Larry Grill、
Hitachi Vantara
DevSecOpsシニアマネージャー
DevSecOpsシニアマネージャー
「log4jでこの問題が発生したとき、金曜日の午後に発表を行い、月曜日の正午までに(JFrogを使用して)すべての都市にパッチを配布しました。」
Hanno Walischewski
Yunex Traffic
チーフシステムアーキテクト
チーフシステムアーキテクト
「この危殆化から学んだ教訓の一つは、一般に、インターネットからダウンロードした依存関係を使ってビルドする場合は、依存関係をビルドに持ち込む前に必ずスキャンツールで検証するようにシステムを配置する必要があるということです。そのようにできるよう、ステージング、本番、またはオンプレミスリリースにバインドされたソフトウェアアーティファクトの唯一の有効なソースである依存関係をホストするのに、クラウドサービスではなくJFrog® Artifactory®のインスタンスを使用しています。」
安全なソフトウェア開発の新たな基準を打ち立てる:
SolarWinds次世代ビルドシステム
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactoryに移行して以来、私たちのチームはメンテナンスの負担を大幅に軽減できました...私たちは以前よりも進歩し、より徹底したDevOps組織になることができています。」
Stefan Krause
Workiva、
ソフトウェアエンジニア
ソフトウェアエンジニア
「世界中の30万人以上のユーザーがPRTGを利用して、さまざまな規模のネットワークの重要な部分を監視しています。そのため、ソフトウェア自体だけでなく、その周りのセキュリティおよびリリースプロセスも開発および強化することが私たちの責任となっています。JFrogは、これを最も効率的な方法で行うのに役立っています。」
Konstantin Wolff
Paessler AG、
インフラストラクチャエンジニア
インフラストラクチャエンジニア
「JFrog Connectは私にとって、エッジIoTインテグレーションをより迅速に導入し、より大規模に管理するためのスケーリングツールです。VPNやファイアウォールの要件が異なるさまざまな顧客サイトに接続する際の手動の介入が、1回限りと少なくなります。」
Ben Fussell
Ndustrial、
システムインテグレーションエンジニア
システムインテグレーションエンジニア
「私たちは、5つ、6つの異なるアプリケーションを用意する代わりに、実際に何が使用できるかを理解したかったのです。それらを用意したら、メンテナンスする必要も出てきますから。「単一のソリューションとして使用できるものはないのだろうか」と自問しました。そして、Artifactoryが救いの手を差し伸べてくれたのです。それは本当に私たちにとってワンストップサービスであることがわかりました。私たちが必要とするすべてを本当に提供してくれたのです。」
Keith Kreissl
Cars.com、
開発主任
開発主任
「ほとんどの大企業には複数のサイトがあり、そのような企業にとっては、全サイトにわたって認証とアクセス許可を効率的に管理することが不可欠です。JFrog Enterprise+では理想的なセットアップを実現できるため、最初から厳しい要件を満たすことができます。Access Federationなどの高度な機能により、事業所間でユーザー、アクセス許可、グループを同期させて、オーバーヘッドを減らすことができます。」
Siva Mandadi
DevOps - Mercedes、Autonomous Driving部門
「JFrog Enterprise+は、開発者の生産性を向上させ、フラストレーションを解消します。JFrog Distributionは、基本的にはCDNオンプレミスであり、ソフトウェアを信頼性の高い方法で遠隔にある事業所に配信できます。一方、JFrog Access Federationを使用すると、認証情報、アクセス、グループメンバーを事業所間で簡単に共有できます。」
Artem Semenov
Align Technology
DevOps and Tooling部門シニアマネージャー
DevOps and Tooling部門シニアマネージャー
「15か月のサイクルではなく、リクエストに応じて事実上すぐにリリースできるようになりました。」
Martin Eggenberger
Monster
チーフアーキテクト
チーフアーキテクト
「DevOpsエンジニアとしての長年の経験で、企業のインベントリにある膨大な種類の(レガシーと新規)のパッケージを追跡することが、いかに難しいかを知っています。JFrogは、当社のチームをサポートし、効率的で運用し続けるために、常に驚異的な仕事をしてきました。JFrogの出番により、チームは帰宅することさえできるのですから。うれしいことに、AWSのインフラストラクチャもサポートしているため、現在そして将来に向け、ビジネスの需要がある場所であればどこでも自信を持って開発および配信できると確信しています。」
Joel Vasallo
Redbox
Cloud DevOps部門責任者
Cloud DevOps部門責任者
「Artifactoryの機能は、今日私たちができることを可能にします。Xrayでは、(セキュリティは)非常に簡単です。組み込み済みなので、電源を入れるだけです。一日中使えます。」
Larry Grill、
Hitachi Vantara
DevSecOpsシニアマネージャー
DevSecOpsシニアマネージャー
「log4jでこの問題が発生したとき、金曜日の午後に発表を行い、月曜日の正午までに(JFrogを使用して)すべての都市にパッチを配布しました。」
Hanno Walischewski
Yunex Traffic
チーフシステムアーキテクト
チーフシステムアーキテクト
「この危殆化から学んだ教訓の一つは、一般に、インターネットからダウンロードした依存関係を使ってビルドする場合は、依存関係をビルドに持ち込む前に必ずスキャンツールで検証するようにシステムを配置する必要があるということです。そのようにできるよう、ステージング、本番、またはオンプレミスリリースにバインドされたソフトウェアアーティファクトの唯一の有効なソースである依存関係をホストするのに、クラウドサービスではなくJFrog® Artifactory®のインスタンスを使用しています。」
安全なソフトウェア開発の新たな基準を打ち立てる:
SolarWinds次世代ビルドシステム
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactoryに移行して以来、私たちのチームはメンテナンスの負担を大幅に軽減できました...私たちは以前よりも進歩し、より徹底したDevOps組織になることができています。」
Stefan Krause
Workiva、
ソフトウェアエンジニア
ソフトウェアエンジニア
「世界中の30万人以上のユーザーがPRTGを利用して、さまざまな規模のネットワークの重要な部分を監視しています。そのため、ソフトウェア自体だけでなく、その周りのセキュリティおよびリリースプロセスも開発および強化することが私たちの責任となっています。JFrogは、これを最も効率的な方法で行うのに役立っています。」
Konstantin Wolff
Paessler AG、
インフラストラクチャエンジニア
インフラストラクチャエンジニア
「JFrog Connectは私にとって、エッジIoTインテグレーションをより迅速に導入し、より大規模に管理するためのスケーリングツールです。VPNやファイアウォールの要件が異なるさまざまな顧客サイトに接続する際の手動の介入が、1回限りと少なくなります。」
Ben Fussell
Ndustrial、
システムインテグレーションエンジニア
システムインテグレーションエンジニア
「私たちは、5つ、6つの異なるアプリケーションを用意する代わりに、実際に何が使用できるかを理解したかったのです。それらを用意したら、メンテナンスする必要も出てきますから。「単一のソリューションとして使用できるものはないのだろうか」と自問しました。そして、Artifactoryが救いの手を差し伸べてくれたのです。それは本当に私たちにとってワンストップサービスであることがわかりました。私たちが必要とするすべてを本当に提供してくれたのです。」
Keith Kreissl
Cars.com、
開発主任
開発主任
Discover More About JFrog Advanced Security
JFrogのセキュリティエキスパートまたは脆弱性研究者とのセッションをご予約いただくと、ご質問や、当社のソリューションがどのように役立つかの説明を受けることができます。
- アーティファクトを継続的にスキャンしてソフトウェアサプライチェーンセキュリティの脅威を検出する方法を学ぶ
- ソフトウェアサプライチェーンセキュリティのすべてのカテゴリを確認し、対応するJFrogスキャナーを特定する
- セキュリティの問題を共同で確認し、その影響と修復パスを理解する
- ソフトウェアサプライチェーンのセキュリティに対するJFrogのアプローチが、従来のASTやAppSecのアプローチとどのように異なるかをよりよく理解してください。試用版をすばやく設定する方法を学ぶ
月次で行われるグループデモをご希望の場合、次回は5月30日火曜日の午前8時(太平洋標準時)/午後5時(中央ヨーロッパ標準時)から行われますので、奮ってご参加ください。
セキュリティに関するその他のリソース
世界を駆り立てる
ソフトウェアを保護
ソフトウェアパッケージをあらゆるソースからあらゆるデバイスにシームレスかつ安全に自動的に配信することが、Liquid Softwareのビジョンです。
