기술 회사인 JFrog는 최근 최신 혁신 제품인 JFrog Curation을 공개했습니다. 판도를 바꾸는 이 자동화된 DevSecOps 도구는 관련된 종속성과 함께 손상된 오픈 소스 또는 타사 소프트웨어 패키지를 철저하게 검사하고 차단하여 기업 소프트웨어 개발 생태계에 진입하는 것을 방해하는 것을 목표로 합니다.
JFrog Artifactory와 완벽하게 통합된 JFrog Curation은 바이너리 메타데이터를 활용하여 심각한 CVE가 있거나 운영 또는 라이선스 준수 문제를 나타내는 고위험 소프트웨어 패키지를 찾아냅니다. 이 메커니즘은 미리 각 패키지를 다운로드하고 스캔할 필요가 없으므로 개발자의 작업 속도와 편의성을 유지합니다.
JFrog의 Xray 및 DevSecOps 아웃바운드 제품 마케팅을 주도하는 Paul Garden은 많은 조직이 직면한 문제를 표현했습니다. 그는 "빠른 개발이 시급하기 때문에 NPM, Maven, Go와 같은 다양한 소스에서 가져오는 패키지에 대한 통제력이 부족한 기업이 많습니다. 소프트웨어 개발 팀에 막대한 제한을 가하는 대안이 있습니다. 그러나 그것은 소프트웨어 개발 속도를 심각하게 방해합니다. 따라서 개발 프로세스를 방해하지 않으면서 개발 팀을 강화하는 것이 중요합니다. 신뢰할 수 있는 패키지를 사용하고 있다는 확신이 필요합니다. 우리는 이 문제를 해결할 방법을 고안하기 위해 지난 몇 년 동안 여러 전략적 고객과 협력했습니다.
JFrog의 큐레이션 프로세스는 JFrog의 Security Research 라이브러리와 결합하여 CVE(Critical Vulnerabilities Exposures) 및 공개 소스 정보를 기록합니다. 결과적으로 개발 목적으로 사용할 수 있는 사전 승인된 타사 소프트웨어 요소의 신뢰할 수 있는 보관소를 개발합니다. JFrog Curation은 공용 패키지 저장소, 개발자, 생산 및 보안 담당자 사이의 공백을 메워 효율성을 높이고 향후 비용과 시간이 많이 소요되는 수정을 방지합니다.
이 새로운 도구는 개발자 또는 빌드 도구가 요청한 모든 오픈 소스 패키지에 대한 통합된 가시성과 거버넌스를 제공합니다. 실용적인 수정 제안과 함께 손상된 모든 패키지에 대한 정확한 메타데이터 기반 통찰력을 제공합니다. AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
IDC의 DevOps 및 DevSecOps 연구 부사장인 Jim Mercer는 이러한 도구의 중요성을 강조했습니다. 그는 “log4Shell, Spring4Shell 등 보안 관련 사건을 통해 공개 오픈소스 라이브러리를 다룰 때 오늘의 안전이 내일의 위험이 될 수 있다는 사실을 깨닫게 됐다”고 말했다. 그는 "정기적으로 업데이트되는 보안 정책에 대한 패키지 준수를 보장하고 관련 취약성 데이터베이스에 대해 교차 검증되는 동시에 개발자 경험을 간소화하는 도구는 현재 DevOps 워크플로우의 보안에 필수적입니다."라고 덧붙였습니다.
또한 JFrog Curation을 통해 상세하고 투명한 감사 추적을 공식화할 수 있습니다. 이 기능은 조직이 현재 및 향후 규정 요구 사항을 충족하는 데 도움이 됩니다. 또한 최소한의 마찰로 테스트된 소프트웨어 구성 요소를 획득할 수 있도록 하여 개발자 경험을 풍부하게 합니다.
JFrog Curation에는 다양한 도구 모음의 불필요한 확산을 방지하기 위한 기능도 포함되어 있습니다. 이는 JFrog와 소프트웨어 공급망 플랫폼의 통합을 통해 달성되어 다양한 개발 설정에서 균일하고 자동화된 작업을 제공합니다.
