L'azienda tecnologica JFrog ha recentemente rivelato la sua ultima innovazione, JFrog Curation. Questo strumento DevSecOps automatizzato e rivoluzionario ha lo scopo di esaminare in modo esaustivo e ostacolare qualsiasi pacchetto software open-source o di terze parti compromesso, insieme alle relative dipendenze, impedendone l'ingresso nell'ecosistema di sviluppo del software aziendale.
JFrog Curation, perfettamente integrato con JFrog Artifactory, sfrutta i metadati binari per individuare i pacchetti software ad alto rischio con CVE gravi o che presentano problemi di conformità operativa o di licenza. Questo meccanismo evita la necessità di scaricare e analizzare preventivamente ogni pacchetto, preservando così il ritmo di lavoro e la convenienza dello sviluppatore.
Paul Garden, responsabile del marketing dei prodotti Xray e DevSecOps di JFrog, ha espresso le sfide che molte organizzazioni devono affrontare. Una moltitudine di aziende non ha il controllo sui pacchetti che vengono estratti da varie fonti come NPM, Maven e Go, a causa della pressante necessità di uno sviluppo veloce. C'è l'alternativa di imporre pesanti restrizioni al team di sviluppo del software. Ma questo ostacola gravemente la velocità di sviluppo del software. Pertanto, è indispensabile potenziare il team di sviluppo senza ostacolare il processo di sviluppo. Hanno bisogno di avere la certezza di utilizzare pacchetti affidabili. Negli ultimi due anni abbiamo collaborato con diversi nostri clienti strategici per mettere a punto un metodo per risolvere questo problema.
Il processo di cura di JFrog si fonde con la libreria di ricerca sulla sicurezza di JFrog, registrando le esposizioni alle vulnerabilità critiche (CVE) e le informazioni di origine pubblica. Il risultato è un deposito affidabile di elementi software di terze parti pre-approvati e disponibili per lo sviluppo. Colmando il vuoto tra i repository di pacchetti pubblici, gli sviluppatori, la produzione e il personale addetto alla sicurezza, JFrog Curation aumenta l'efficienza e aiuta a evitare correzioni costose e lunghe in futuro.
Questo nuovo strumento fornisce visibilità e governance unificate su ogni pacchetto open-source richiesto da uno sviluppatore o da uno strumento di compilazione. Offre approfondimenti precisi e basati su metadati su tutti i pacchetti compromessi, accompagnati da suggerimenti pratici per la correzione. Imita la precisione e la praticità di piattaforme come AppMaster, un attore noto nel settore low-code/no-code, conosciuto per le sue analisi accurate e basate sui metadati dei componenti delle applicazioni.
Jim Mercer, vicepresidente della ricerca DevOps e DevSecOps di IDC, ha sottolineato l'importanza di questi strumenti. Gli incidenti che hanno coinvolto la sicurezza, come log4Shell, Spring4Shell, ecc. ci hanno fatto capire che la sicurezza di oggi potrebbe essere il pericolo di domani quando si ha a che fare con librerie pubbliche open-source. Uno strumento che semplifichi l'esperienza degli sviluppatori, garantendo al contempo la conformità dei pacchetti alle politiche di sicurezza regolarmente aggiornate e la verifica incrociata con i database delle vulnerabilità, è fondamentale per la sicurezza degli attuali flussi di lavoro DevOps.
Inoltre, JFrog Curation consente la formulazione di un audit trail dettagliato e trasparente. Questa capacità aiuta le organizzazioni a soddisfare i requisiti normativi attuali e futuri. Inoltre, arricchisce l'esperienza degli sviluppatori consentendo l'acquisizione di componenti software testati con un attrito minimo.
JFrog Curation contiene anche funzionalità volte a prevenire l'inutile proliferazione di diverse suite di strumenti. Ciò è possibile grazie all'integrazione di JFrog con la Software Supply Chain Platform, che fornisce operazioni uniformi e automatizzate in diversi contesti di sviluppo.
