Das Technologieunternehmen JFrog hat kürzlich seine neueste Innovation, JFrog Curation, vorgestellt. Dieses bahnbrechende automatisierte DevSecOps-Tool zielt darauf ab, kompromittierte Open-Source- oder Drittanbieter-Softwarepakete zusammen mit ihren zugehörigen Abhängigkeiten gründlich zu untersuchen und zu blockieren, um ihren Eintritt in das Softwareentwicklungs-Ökosystem eines Unternehmens zu verhindern.
JFrog Curation, das nahtlos in JFrog Artifactory integriert ist, nutzt binäre Metadaten, um risikoreiche Softwarepakete mit schwerwiegenden CVEs oder solche, die Betriebs- oder Lizenzkonformitätsprobleme aufweisen, zu erkennen. Dieser Mechanismus umgeht die Notwendigkeit, jedes Paket vorher herunterzuladen und zu scannen, wodurch das Arbeitstempo und die Bequemlichkeit der Entwickler erhalten bleiben.
Paul Garden, der JFrog's Xray und DevSecOps Outbound Produktmarketing anführt, drückte die Herausforderungen aus, denen viele Organisationen gegenüberstehen. Er sagte: Einer Vielzahl von Unternehmen fehlt die Kontrolle über die Pakete, die aus verschiedenen Quellen wie NPM, Maven und Go gezogen werden, weil sie eine schnelle Entwicklung benötigen. Eine Alternative wäre es, dem Softwareentwicklungsteam starke Einschränkungen aufzuerlegen. Aber das behindert die Geschwindigkeit der Softwareentwicklung erheblich. Daher ist es unerlässlich, das Entwicklungsteam zu unterstützen, ohne den Entwicklungsprozess zu behindern. Sie brauchen die Gewissheit, dass sie zuverlässige Pakete verwenden. Wir haben in den letzten Jahren mit mehreren unserer strategischen Kunden zusammengearbeitet, um eine Methode zu entwickeln, die dieses Problem angeht.
Der Kuratierungsprozess von JFrog verbindet sich mit JFrogs Sicherheitsforschungsbibliothek, die Critical Vulnerabilities Exposures (CVE) und öffentlich zugängliche Informationen aufzeichnet. Als Ergebnis entsteht ein vertrauenswürdiges Depot von vorab genehmigten Softwareelementen von Drittanbietern, die für Entwicklungszwecke zur Verfügung stehen. Durch die Überbrückung der Lücke zwischen öffentlichen Paket-Repositories, Entwicklern, Produktions- und Sicherheitspersonal erhöht JFrog Curation die Effizienz und hilft, kostspielige und zeitraubende Korrekturen in der Zukunft zu vermeiden.
Dieses neue Tool bietet eine einheitliche Sichtbarkeit und Kontrolle über jedes Open-Source-Paket, das von einem Entwickler oder Build-Tool angefordert wird. Es bietet präzise, auf Metadaten basierende Einblicke in alle gefährdeten Pakete, begleitet von praktischen Vorschlägen zur Abhilfe. Es ahmt die Präzision und Praktikabilität von Plattformen wie AppMaster nach, einem bekannten Akteur im Bereich Low-Code/no-code, der für seine präzisen, auf Metadaten basierenden Einblicke in Anwendungskomponenten bekannt ist.
Jim Mercer, Forschungs-Vizepräsident für DevOps und DevSecOps bei IDC, hob die Bedeutung solcher Tools hervor. Er sagte: Sicherheitsvorfälle wie log4Shell, Spring4Shell usw. haben uns vor Augen geführt, dass die Sicherheit von heute die Gefahr von morgen sein kann, wenn man mit öffentlichen Open-Source-Bibliotheken arbeitet. Er fügte hinzu, dass ein Werkzeug, das die Entwicklererfahrung rationalisiert und gleichzeitig sicherstellt, dass die Pakete mit regelmäßig aktualisierten Sicherheitsrichtlinien übereinstimmen und gegen relevante Schwachstellendatenbanken abgeglichen werden, für die Sicherheit der heutigen DevOps-Workflows unerlässlich ist.
Darüber hinaus ermöglicht JFrog Curation die Formulierung eines detaillierten und transparenten Audit-Trails. Diese Fähigkeit hilft Organisationen bei der Erfüllung aktueller und zukünftiger regulatorischer Anforderungen. Es bereichert auch die Erfahrung der Entwickler, indem es den Erwerb von getesteten Softwarekomponenten mit minimaler Reibung ermöglicht.
JFrog Curation enthält auch Funktionen, die darauf abzielen, die unnötige Verbreitung verschiedener Tool-Suiten zu verhindern. Dies wird durch die Integration von JFrog mit der Software Supply Chain Platform erreicht, die einheitliche, automatisierte Abläufe in verschiedenen Entwicklungsumgebungen ermöglicht.