Perusahaan teknologi JFrog baru-baru ini mengungkapkan inovasi terbarunya, Kurasi JFrog. Alat DevSecOps otomatis pengubah permainan ini bertujuan untuk memeriksa secara menyeluruh dan memblokir paket perangkat lunak sumber terbuka atau pihak ketiga mana pun yang disusupi, bersama dengan ketergantungan terkaitnya, menghalangi masuknya mereka ke dalam ekosistem pengembangan perangkat lunak perusahaan.
Kurasi JFrog, digabungkan secara mulus dengan JFrog Artifactory, memanfaatkan metadata biner untuk menemukan paket perangkat lunak berisiko tinggi dengan CVE parah atau yang menghadirkan masalah operasional atau kepatuhan lisensi. Mekanisme ini menghindari kebutuhan untuk mengunduh dan memindai setiap paket sebelumnya, sehingga menjaga kecepatan dan kenyamanan kerja pengembang.
Paul Garden, yang memelopori pemasaran produk outbound Xray dan DevSecOps JFrog, mengungkapkan tantangan yang dihadapi banyak organisasi. Dia berkata, Banyak bisnis tidak memiliki kendali atas paket yang ditarik dari berbagai sumber seperti NPM, Maven, dan Go karena kebutuhan mendesak untuk pengembangan yang cepat. Ada alternatif untuk memberlakukan batasan yang kuat pada tim pengembangan perangkat lunak. Tapi itu sangat menghambat kecepatan pengembangan perangkat lunak. Lanjutnya, Oleh karena itu, sangat penting untuk mendorong tim pengembang tanpa menghambat proses pembangunan. Mereka membutuhkan jaminan bahwa mereka menggunakan paket yang andal. Kami telah berkolaborasi dengan beberapa klien strategis kami selama beberapa tahun terakhir untuk menyusun metode untuk mengatasi masalah ini.
Proses kurasi JFrog menyatu dengan pustaka Riset Keamanan JFrog, merekam Eksposur Kerentanan Kritis (CVE) dan informasi yang bersumber dari publik. Akibatnya, ia mengembangkan penyimpanan tepercaya dari elemen perangkat lunak pihak ketiga yang disetujui sebelumnya yang tersedia untuk tujuan pengembangan. Dengan menjembatani kekosongan antara repositori paket publik, pengembang, produksi, dan personel keamanan, Kurasi JFrog meningkatkan efisiensi dan membantu menghindari koreksi yang mahal dan memakan waktu di masa mendatang.
Alat baru ini memberikan visibilitas dan tata kelola terpadu atas setiap paket sumber terbuka yang diminta oleh pengembang atau alat bangun. Ini menawarkan wawasan berbasis metadata yang tepat pada semua paket yang dikompromikan, disertai dengan saran perbaikan praktis. Ini meniru presisi dan kepraktisan platform seperti AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
Jim Mercer, wakil presiden riset DevOps dan DevSecOps di IDC, menyoroti pentingnya alat tersebut. Dia berkata, Insiden yang melibatkan keamanan, seperti log4Shell, Spring4Shell, dll., telah menyadarkan kami bahwa keamanan hari ini mungkin menjadi bahaya di masa depan ketika berhadapan dengan perpustakaan sumber terbuka publik. Dia menambahkan, Alat yang merampingkan pengalaman pengembang sambil memastikan kepatuhan paket dengan kebijakan keamanan yang diperbarui secara berkala, dan verifikasi silang terhadap basis data kerentanan yang relevan, sangat penting untuk keamanan alur kerja DevOps saat ini.
Selain itu, Kurasi JFrog memungkinkan perumusan jejak audit yang terperinci dan transparan. Kemampuan ini membantu organisasi dalam memenuhi persyaratan peraturan saat ini dan yang akan datang. Ini juga memperkaya pengalaman pengembang dengan memungkinkan perolehan komponen perangkat lunak yang diuji dengan gesekan minimal.
Kurasi JFrog juga berisi fungsionalitas yang ditujukan untuk mencegah proliferasi rangkaian alat berbeda yang tidak perlu. Hal ini dicapai melalui integrasi JFrog dengan Software Supply Chain Platform, menyediakan operasi otomatis yang seragam di berbagai pengaturan pengembangan.
