L'entreprise technologique JFrog a récemment dévoilé sa dernière innovation, JFrog Curation. Cet outil DevSecOps automatisé, qui change la donne, a pour objectif d'examiner de manière exhaustive et de bloquer tous les logiciels open-source ou tiers compromis, ainsi que leurs dépendances, afin d'empêcher leur entrée dans l'écosystème de développement logiciel d'une entreprise.
JFrog Curation, intégré de manière transparente à JFrog Artifactory, exploite les métadonnées binaires pour repérer les progiciels à haut risque présentant de graves CVE ou ceux qui posent des problèmes opérationnels ou de conformité aux licences. Ce mécanisme permet d'éviter le téléchargement et l'analyse préalable de chaque paquet, ce qui préserve le rythme de travail et la commodité du développeur.
Paul Garden, responsable de la commercialisation des produits Xray et DevSecOps de JFrog, a fait part des défis auxquels sont confrontées de nombreuses organisations. Il a déclaré : "Une multitude d'entreprises n'ont pas le contrôle des paquets provenant de diverses sources telles que NPM, Maven et Go en raison du besoin pressant d'un développement rapide. Une autre solution consiste à imposer de lourdes restrictions à l'équipe de développement logiciel. Mais cela nuit gravement à la vitesse de développement des logiciels. Il est donc impératif de renforcer l'équipe de développement sans entraver le processus de développement. Ils doivent avoir l'assurance qu'ils utilisent des progiciels fiables. Nous avons collaboré avec plusieurs de nos clients stratégiques au cours des deux dernières années pour concevoir une méthode permettant de résoudre ce problème.
Le processus de curation de JFrog s'associe à la bibliothèque de recherche sur la sécurité de JFrog, qui enregistre les expositions aux vulnérabilités critiques (CVE) et les informations d'origine publique. Il en résulte un dépôt fiable d'éléments logiciels tiers pré-approuvés, disponibles à des fins de développement. En comblant le vide entre les dépôts publics de paquets, les développeurs, la production et le personnel de sécurité, JFrog Curation augmente l'efficacité et aide à éviter des corrections coûteuses et fastidieuses à l'avenir.
Ce nouvel outil offre une visibilité et une gouvernance unifiées sur chaque paquetage open-source demandé par un développeur ou un outil de construction. Il offre des informations précises, basées sur des métadonnées, sur tous les paquets compromis, accompagnées de suggestions pratiques de remédiation. Elle imite la précision et l'aspect pratique de plateformes telles que AppMaster, un acteur connu dans le domaine du low-code/no-code, réputé pour ses informations précises, basées sur des métadonnées, sur les composants des applications.
Jim Mercer, vice-président chargé de la recherche sur DevOps et DevSecOps chez IDC, a souligné l'importance de ces outils. Il a déclaré : "Les incidents liés à la sécurité, tels que log4Shell, Spring4Shell, etc., nous ont fait prendre conscience que la sécurité d'aujourd'hui peut être le danger de demain lorsqu'il s'agit de bibliothèques publiques à code source ouvert. Il a ajouté qu'un outil qui rationalise l'expérience du développeur tout en garantissant la conformité des paquets avec les politiques de sécurité régulièrement mises à jour, et la vérification croisée avec les bases de données de vulnérabilité pertinentes, est vital pour la sécurité des flux de travail DevOps d'aujourd'hui.
En outre, JFrog Curation permet la formulation d'une piste d'audit détaillée et transparente. Cette capacité aide les organisations à répondre aux exigences réglementaires actuelles et futures. Elle enrichit également l'expérience des développeurs en permettant l'acquisition de composants logiciels testés avec un minimum de friction.
JFrog Curation contient également des fonctionnalités visant à empêcher la prolifération inutile de différentes suites d'outils. Cela est possible grâce à l'intégration de JFrog avec la Software Supply Chain Platform, qui fournit des opérations uniformes et automatisées dans divers environnements de développement.