JFrog 與 AWS 合作，提升雲應用安全性

在本週的 AWS re:Inforce 活動上，JFrog 宣布其 JFrog Xray 軟件組成分析工具與 AWS Security Hub 雲安全姿態管理（CSPM）服務整合，該服務會在檢測到安全問題時提醒 IT 團隊。

此外，JFrog 還宣布參與 AWS Marketplace Vendor Insights 工具的預覽。AWS 創建 Marketplace Vendor Insights 是為了提供 AWS 市場上可用的第三方軟件的網絡安全和合規性風險評估。

JFrog 的合作夥伴營銷經理 Steve Bohac 表示，JFrog Xray 與 AWS Security Hub 的整合將通過集中透過 AWS Security Hub 交付，簡化 IT 團隊接收的網絡安全警報的流程。AWS 本週同樣推動了 Amazon GuardDuty 惡意軟件保護服務與 AWS Security Hub 的整合。

通過 AWS Security Hub 訪問的安全服務旨在為在 AWS 雲上部署應用工作負載的 IT 團隊更簡單地採納 DevSecOps 最佳實踐。例如，JFrog Xray 被設計為使用 AWS Lambda 無服務器計算框架部署，Bohac 指出。

這些服務的推出正值對雲安全的關注日益增加之際，作為更好地保護軟件供應鏈的更大努力的一部分，尤其是在一系列高調應用程式洩露事件之後。一般而言，雲平台比本地 IT 環境更安全；然而，構建和部署雲應用的過程往往存在問題，因為經常會犯錯。開發人員經常使用像 Terraform 這樣的開源工具來配置雲基礎設施並加速應用開發。大多數開發者的網絡安全專業知識有限，因此，不可避免地會有配置錯誤，而網絡犯罪分子已變得更善於發現並利用這些錯誤。

持續的網絡安全專業人才短缺意味著大多數組織無法跟上雲中工作負載部署的速度。

幸運的是，越來越多的組織也開始採納 DevSecOps 最佳實踐，使軟件供應鏈更加安全。挑戰在於，無論花多少時間和努力教育開發人員，總會有開發團隊犯錯。像 JFrog Xray 這樣的工具使在應用部署之前發現這些問題成為可能。

目前尚不清楚 DevSecOps 對雲應用安全產生實質影響可能需要多長時間。雲平台上已部署的應用數量已是不可計數。至少在理論上，隨著每個應用被審查和更新，它們應該會變得更加安全，因為 DevSecOps 最佳實踐被更廣泛地採用。然而，可能需要數年時間，雲應用的整體安全性才能實質性改善。

最終，下一代雲應用應該比它們的前輩要安全得多。希望是，在此期間，任何存在安全漏洞的脆弱雲應用在 IT 團隊能夠動用所需資源修復它們之前不會被利用。實際上，這是一場與時間的賽跑。