كشفت شركة التكنولوجيا JFrog مؤخرًا عن أحدث ابتكاراتها ، JFrog Curation. تهدف أداة DevSecOps المؤتمتة التي تغير قواعد اللعبة هذه إلى فحص وعرقلة أي حزم برامج مفتوحة المصدر أو طرف ثالث مخترقة ، إلى جانب التبعيات المرتبطة بها ، مما يعيق دخولها إلى نظام إيكولوجي لتطوير برامج الشركة.
تعمل JFrog Curation ، التي تم دمجها بسلاسة مع JFrog Artifactory ، على الاستفادة من البيانات الوصفية الثنائية لاكتشاف حزم البرامج عالية المخاطر مع CVEs الشديدة أو تلك التي تعرض مشكلات امتثال تشغيلية أو ترخيص. تلغي هذه الآلية الحاجة إلى تنزيل كل حزمة ومسحها ضوئيًا مسبقًا ، وبالتالي الحفاظ على وتيرة عمل المطور وراحته.
أعرب بول جاردن ، الذي يقود تسويق منتجات Xray و DevSecOps الصادرة من JFrog ، عن التحديات التي تواجهها العديد من المؤسسات. قال ، تفتقر العديد من الشركات إلى التحكم في الحزم التي يتم سحبها من مصادر مختلفة مثل NPM و Maven و Go بسبب الحاجة الملحة للتطوير السريع. هناك بديل لفرض قيود كبيرة على فريق تطوير البرمجيات. لكنه يعيق بشدة سرعة تطوير البرمجيات. وتابع ، وبالتالي ، من الضروري تعزيز فريق التطوير دون إعاقة عملية التطوير. يحتاجون إلى تأكيد أنهم يستخدمون حزم موثوقة. لقد تعاونا مع العديد من عملائنا الاستراتيجيين على مدار العامين الماضيين لابتكار طريقة لمعالجة هذه المشكلة.
تمتزج عملية معالجة JFrog مع مكتبة JFrog للأبحاث الأمنية ، وتسجيل التعرض لنقاط الضعف الحرجة (CVE) والمعلومات العامة. ونتيجة لذلك ، تقوم بتطوير مستودع موثوق به لعناصر برامج الطرف الثالث المعتمدة مسبقًا والمتاحة لأغراض التطوير. من خلال سد الفراغ بين مستودعات الحزم العامة والمطورين والإنتاج وموظفي الأمن ، يرفع JFrog Curation الكفاءة ويساعد على تجنب التصحيحات المكلفة والمستهلكة للوقت في المستقبل.
توفر هذه الأداة الجديدة رؤية وحوكمة موحدة لكل حزمة مفتوحة المصدر يطلبها مطور أو أداة بناء. إنه يوفر رؤى دقيقة تستند إلى البيانات الوصفية حول جميع الحزم المخترقة ، مصحوبة باقتراحات علاجية عملية. إنه يحاكي الدقة والتطبيق العملي لمنصات مثل AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
سلط Jim Mercer ، نائب رئيس الأبحاث في DevOps و DevSecOps في IDC ، الضوء على أهمية هذه الأدوات. قال ، إن الحوادث التي تنطوي على الأمن ، مثل log4Shell و Spring4Shell وما إلى ذلك ، جعلتنا ندرك أن سلامة اليوم قد تكون خطر الغد عند التعامل مع المكتبات العامة مفتوحة المصدر. وأضاف ، إن الأداة التي تبسط تجربة المطور مع ضمان امتثال الحزمة لسياسات الأمان المحدثة بانتظام ، والتحقق المتبادل من قواعد بيانات الثغرات الأمنية ذات الصلة ، أمر حيوي لأمن عمليات سير عمل DevOps الحالية.
علاوة على ذلك ، يسمح JFrog Curation بصياغة مسار تدقيق مفصل وشفاف. تساعد هذه القدرة المنظمات في تلبية المتطلبات التنظيمية الحالية والقادمة. كما أنه يثري تجربة المطور من خلال تمكين الحصول على مكونات البرامج المختبرة بأقل قدر من الاحتكاك.
يحتوي JFrog Curation أيضًا على وظائف تهدف إلى منع الانتشار غير الضروري لمجموعات الأدوات المختلفة. يتم تحقيق ذلك من خلال تكامل JFrog مع منصة سلسلة توريد البرامج ، مما يوفر عمليات موحدة وآلية عبر إعدادات التطوير المختلفة.