टेक फर्म जेफ्रॉग ने हाल ही में अपने नवीनतम इनोवेशन, जेफ्रॉग क्यूरेशन का खुलासा किया है। इस गेम-चेंजिंग स्वचालित DevSecOps टूल का उद्देश्य किसी भी समझौता किए गए ओपन-सोर्स या थर्ड-पार्टी सॉफ़्टवेयर पैकेजों की विस्तृत जांच करना और उनकी संबंधित निर्भरताओं के साथ कॉर्पोरेट सॉफ़्टवेयर डेवलपमेंट इकोसिस्टम में उनके प्रवेश को बाधित करना है।
जेफ्रॉग आर्टिफैक्टरी के साथ निर्बाध रूप से शामिल जेफ्रॉग क्यूरेशन, गंभीर सीवीई या परिचालन या लाइसेंस अनुपालन समस्याओं को प्रस्तुत करने वाले उच्च जोखिम वाले सॉफ़्टवेयर पैकेजों का पता लगाने के लिए बाइनरी मेटाडेटा का लाभ उठाता है। यह तंत्र प्रत्येक पैकेज को पहले से डाउनलोड करने और स्कैन करने की आवश्यकता को रोकता है, इस प्रकार डेवलपर की कार्य गति और सुविधा को संरक्षित करता है।
पॉल गार्डन, जेफ्रॉग के एक्सरे और डेवसेकऑप्स आउटबाउंड उत्पाद विपणन का नेतृत्व करते हुए, कई संगठनों के सामने आने वाली चुनौतियों को व्यक्त किया। उन्होंने कहा, तेजी से विकास की अत्यधिक आवश्यकता के कारण कई व्यवसायों में एनपीएम, मावेन और गो जैसे विभिन्न स्रोतों से प्राप्त होने वाले पैकेजों पर नियंत्रण का अभाव है। सॉफ़्टवेयर विकास टीम पर भारी प्रतिबंध लगाने का एक विकल्प है। लेकिन यह सॉफ्टवेयर विकास की गति को गंभीर रूप से बाधित करता है। उन्होंने आगे कहा, इसलिए, विकास प्रक्रिया में बाधा डाले बिना विकास टीम को बढ़ावा देना अनिवार्य है। उन्हें यह आश्वासन चाहिए कि वे विश्वसनीय पैकेजों का उपयोग कर रहे हैं। हमने इस समस्या के समाधान के लिए एक विधि तैयार करने के लिए पिछले कुछ वर्षों में अपने कई रणनीतिक ग्राहकों के साथ सहयोग किया है।
जेफ्रॉग की क्यूरेशन प्रक्रिया जेफ्रॉग की सुरक्षा अनुसंधान लाइब्रेरी के साथ मिश्रित होती है, जो गंभीर कमजोरियों के एक्सपोजर (सीवीई) और सार्वजनिक रूप से प्राप्त जानकारी को रिकॉर्ड करती है। परिणामस्वरूप, यह विकास उद्देश्यों के लिए उपलब्ध पूर्व-अनुमोदित, तृतीय-पक्ष सॉफ़्टवेयर तत्वों का एक विश्वसनीय डिपॉजिटरी विकसित करता है। सार्वजनिक पैकेज रिपॉजिटरी, डेवलपर्स, उत्पादन और सुरक्षा कर्मियों के बीच शून्य को पाटकर, जेफ्रॉग क्यूरेशन दक्षता बढ़ाता है और भविष्य में महंगे और समय लेने वाले सुधारों से बचने में मदद करता है।
यह नया टूल डेवलपर या बिल्ड टूल द्वारा अनुरोधित प्रत्येक ओपन-सोर्स पैकेज पर एकीकृत दृश्यता और शासन प्रदान करता है। यह व्यावहारिक सुधारात्मक सुझावों के साथ, सभी समझौता किए गए पैकेजों पर सटीक, मेटाडेटा-आधारित अंतर्दृष्टि प्रदान करता है। यह AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
आईडीसी में DevOps और DevSecOps के शोध उपाध्यक्ष जिम मर्सर ने ऐसे उपकरणों के महत्व पर प्रकाश डाला। उन्होंने कहा, सुरक्षा से जुड़ी घटनाएं, जैसे कि लॉग4शेल, स्प्रिंग4शेल आदि ने हमें एहसास दिलाया है कि सार्वजनिक ओपन-सोर्स पुस्तकालयों के साथ काम करते समय आज की सुरक्षा कल के लिए खतरा हो सकती है। उन्होंने आगे कहा, एक उपकरण जो नियमित रूप से अद्यतन सुरक्षा नीतियों के साथ पैकेज अनुपालन सुनिश्चित करते हुए डेवलपर अनुभव को सुव्यवस्थित करता है, और प्रासंगिक भेद्यता डेटाबेस के खिलाफ क्रॉस-सत्यापित होता है, वर्तमान DevOps वर्कफ़्लो की सुरक्षा के लिए महत्वपूर्ण है।
इसके अलावा, जेफ्रॉग क्यूरेशन एक विस्तृत और पारदर्शी ऑडिट ट्रेल तैयार करने की अनुमति देता है। यह क्षमता संगठनों को वर्तमान और आगामी नियामक आवश्यकताओं को पूरा करने में सहायता करती है। यह न्यूनतम घर्षण के साथ परीक्षण किए गए सॉफ़्टवेयर घटकों के अधिग्रहण को सक्षम करके डेवलपर अनुभव को भी समृद्ध करता है।
जेफ्रॉग क्यूरेशन में विभिन्न टूल सुइट्स के अनावश्यक प्रसार को रोकने के उद्देश्य से कार्यक्षमता भी शामिल है। यह सॉफ्टवेयर सप्लाई चेन प्लेटफॉर्म के साथ जेफ्रॉग के एकीकरण के माध्यम से पूरा किया जाता है, जो विभिन्न विकास सेटिंग्स में एक समान, स्वचालित संचालन प्रदान करता है।