技術企業JFrogは最近、最新のイノベーションであるJFrog Curationを発表した。この画期的なDevSecOps自動化ツールは、侵害されたオープンソースやサードパーティのソフトウェアパッケージを、関連する依存関係とともに徹底的に調査し、企業のソフトウェア開発エコシステムへの侵入を阻止することを目的としている。
JFrog Artifactoryにシームレスに組み込まれたJFrog Curationは、バイナリメタデータを活用して、深刻なCVEを持つリスクの高いソフトウェアパッケージや、運用やライセンスコンプライアンスの問題を提示するソフトウェアパッケージを発見します。この仕組みは、事前に各パッケージをダウンロードしてスキャンする必要性を回避し、開発者の作業ペースと利便性を維持します。
JFrogのXrayとDevSecOpsのアウトバウンド製品マーケティングの陣頭指揮を執るポール・ガーデンは、多くの組織が直面している課題を表明した。多くの企業は、迅速な開発が急務であるため、NPM、Maven、Goのような様々なソースからプルされるパッケージのコントロールに欠けている。ソフトウェア開発チームに多額の制限を課すという選択肢もある。しかし、それはソフトウェア開発のスピードを著しく阻害する。したがって、開発プロセスを妨げることなく開発チームを強化することが不可欠です。開発チームには、信頼できるパッケージを利用しているという保証が必要です。この問題に対処する方法を考案するために、過去数年間、戦略的なクライアント数社と協力してきました。
JFrogのキュレーションプロセスは、JFrogのセキュリティリサーチライブラリと融合し、CVE(Critical Vulnerabilities Exposures:重要な脆弱性の暴露)や一般に公開されている情報を記録しています。その結果、JFrogは、開発目的で利用可能な、事前に承認されたサードパーティのソフトウェア要素の信頼できる保管場所を開発します。JFrog Curationは、公開パッケージリポジトリ、開発者、生産部門、セキュリティ担当者の間の空白を埋めることで、効率を高め、将来的にコストと時間のかかる修正を回避するのに役立ちます。
この新しいツールは、開発者やビルドツールによって要求されたすべてのオープンソースパッケージに対して、統一された可視性とガバナンスを提供します。すべての危険なパッケージについて、メタデータに基づく正確な洞察を提供し、実用的な修正提案を伴います。これは、アプリケーション・コンポーネントの正確でメタデータ・ベースの洞察で知られる、ローコード/no-code ドメインの有名なプレーヤーであるAppMaster のようなプラットフォームの正確さと実用性を模倣したものです。
IDCのDevOpsとDevSecOpsのリサーチバイスプレジデントであるジム・マーサー(Jim Mercer)氏は、このようなツールの重要性を強調した。log4ShellやSpring4Shellなど、セキュリティに関わる事件は、パブリックなオープンソースライブラリを扱うとき、今日の安全が明日の危険になるかもしれないことを気づかせてくれました。定期的に更新されるセキュリティポリシーへのパッケージのコンプライアンスを保証し、関連する脆弱性データベースとのクロスベリファイを行いながら、開発者のエクスペリエンスを効率化するツールは、今日のDevOpsワークフローのセキュリティにとって不可欠です。
さらに、JFrog Curationは、詳細で透明性のある監査証跡を作成することができます。この機能は、組織が現在および将来の規制要件を満たすのに役立ちます。また、最小限の摩擦でテスト済みのソフトウェアコンポーネントを取得できるようにすることで、開発者のエクスペリエンスを豊かにします。
JFrog Curationには、さまざまなツールスイートの不必要な拡散を防ぐことを目的とした機能も含まれています。これは、JFrogのソフトウェアサプライチェーンプラットフォームとの統合によって実現され、さまざまな開発環境において均一で自動化されたオペレーションを提供します。
