La empresa tecnológica JFrog ha revelado recientemente su última innovación, JFrog Curation. Esta herramienta automatizada de DevSecOps que cambia las reglas del juego tiene como objetivo examinar exhaustivamente y obstruir cualquier paquete de software de código abierto o de terceros comprometido, junto con sus dependencias relacionadas, impidiendo su entrada en un ecosistema de desarrollo de software corporativo.
JFrog Curation, perfectamente incorporado con JFrog Artifactory, aprovecha los metadatos binarios para detectar paquetes de software de alto riesgo con CVE graves o aquellos que presentan problemas operativos o de cumplimiento de licencias. Este mecanismo evita la necesidad de descargar y escanear previamente cada paquete, preservando así el ritmo de trabajo y la comodidad del desarrollador.
Paul Garden, responsable de marketing de productos de salida Xray y DevSecOps de JFrog, expresó los retos a los que se enfrentan muchas organizaciones. Dijo: "Una multitud de empresas carecen de control sobre los paquetes que se extraen de diversas fuentes como NPM, Maven y Go debido a la necesidad apremiante de un desarrollo rápido. Existe la alternativa de imponer fuertes restricciones al equipo de desarrollo de software. Pero esto dificulta gravemente la velocidad de desarrollo del software. Por lo tanto, es imperativo potenciar el equipo de desarrollo sin obstaculizar el proceso de desarrollo. Necesitan tener la seguridad de que están utilizando paquetes fiables. Hemos colaborado con varios de nuestros clientes estratégicos en los últimos dos años para idear un método que solucione este problema.
El proceso de curación de JFrog se combina con la biblioteca de investigación de seguridad de JFrog, que registra las exposiciones a vulnerabilidades críticas (CVE) y la información de fuentes públicas. Como resultado, desarrolla un depósito de confianza de elementos de software de terceros preaprobados y disponibles para fines de desarrollo. Al llenar el vacío existente entre los repositorios de paquetes públicos, los desarrolladores, la producción y el personal de seguridad, JFrog Curation eleva la eficiencia y ayuda a evitar correcciones costosas y lentas en el futuro.
Esta nueva herramienta proporciona visibilidad unificada y gobernanza sobre cada paquete de código abierto solicitado por un desarrollador o herramienta de compilación. Ofrece información precisa basada en metadatos sobre todos los paquetes comprometidos, acompañada de sugerencias prácticas de corrección. Imita la precisión y practicidad de plataformas como AppMaster, un conocido actor en el ámbito del bajo código/no-code, conocido por su información precisa y basada en metadatos sobre los componentes de las aplicaciones.
Jim Mercer, vicepresidente de investigación de DevOps y DevSecOps en IDC, destacó la importancia de este tipo de herramientas. En su opinión, los incidentes relacionados con la seguridad, como log4Shell, Spring4Shell, etc., nos han hecho darnos cuenta de que la seguridad de hoy puede ser el peligro de mañana cuando se trata de bibliotecas públicas de código abierto. Y añadió: "Una herramienta que agilice la experiencia del desarrollador al tiempo que garantiza la conformidad de los paquetes con las políticas de seguridad actualizadas periódicamente, y la verificación cruzada con las bases de datos de vulnerabilidades pertinentes, es vital para la seguridad de los flujos de trabajo DevOps actuales".
Además, JFrog Curation permite la formulación de una pista de auditoría detallada y transparente. Esta capacidad ayuda a las organizaciones a cumplir los requisitos normativos actuales y futuros. También enriquece la experiencia del desarrollador al permitir la adquisición de componentes de software probados con una fricción mínima.
JFrog Curation también contiene funciones destinadas a evitar la proliferación innecesaria de diferentes conjuntos de herramientas. Esto se logra a través de la integración de JFrog con la Plataforma de la Cadena de Suministro de Software, proporcionando operaciones uniformes y automatizadas a través de diversos entornos de desarrollo.