Het technologiebedrijf JFrog heeft onlangs zijn nieuwste innovatie, JFrog Curation, onthuld. Deze baanbrekende geautomatiseerde DevSecOps-tool heeft als doel om alle gecompromitteerde open-source of third-party softwarepakketten, samen met hun gerelateerde afhankelijkheden, uitputtend te onderzoeken en te blokkeren, zodat ze niet in het ecosysteem van de softwareontwikkeling van een bedrijf terechtkomen.
JFrog Curation, naadloos geïntegreerd met JFrog Artifactory, maakt gebruik van binaire metadata om softwarepakketten met een hoog risico en ernstige CVE's of pakketten met operationele problemen of problemen met de naleving van licenties op te sporen. Dit mechanisme omzeilt de noodzaak om elk pakket vooraf te downloaden en te scannen, waardoor het werktempo en gemak van de ontwikkelaar behouden blijft.
Paul Garden, hoofd van JFrog's Xray en DevSecOps outbound productmarketing, verwoordde de uitdagingen waar veel organisaties mee te maken hebben. Hij zei: "Veel bedrijven hebben geen controle over pakketten die uit verschillende bronnen zoals NPM, Maven en Go worden gehaald vanwege de dringende behoefte aan snelle ontwikkeling. Er is een alternatief om het softwareontwikkelingsteam flinke beperkingen op te leggen. Maar dat belemmert de snelheid van de softwareontwikkeling enorm. Hij vervolgt: "Daarom is het noodzakelijk om het ontwikkelteam te stimuleren zonder het ontwikkelproces te belemmeren. Ze moeten de zekerheid hebben dat ze betrouwbare pakketten gebruiken. We hebben de afgelopen jaren met een aantal van onze strategische klanten samengewerkt om een methode te bedenken om dit probleem aan te pakken.
Het curatieproces van JFrog vermengt zich met JFrog's Security Research bibliotheek, waarin Critical Vulnerabilities Exposures (CVE) en publiekelijk verkregen informatie wordt vastgelegd. Het resultaat is een vertrouwde opslagplaats van vooraf goedgekeurde software-elementen van derden die beschikbaar zijn voor ontwikkelingsdoeleinden. Door de leegte tussen openbare pakketrepositories, ontwikkelaars, productie- en beveiligingspersoneel te overbruggen, verhoogt JFrog Curation de efficiëntie en helpt het kostbare en tijdrovende correcties in de toekomst te voorkomen.
Deze nieuwe tool biedt uniforme zichtbaarheid en governance over elk open-source pakket dat wordt aangevraagd door een ontwikkelaar of build tool. Het biedt nauwkeurige, op metadata gebaseerde inzichten over alle gecompromitteerde pakketten, vergezeld van praktische suggesties voor herstel. Het imiteert de precisie en bruikbaarheid van platforms zoals AppMaster, een bekende speler in het low-code/no-code domein, bekend om zijn nauwkeurige, op metadata gebaseerde inzichten in applicatiecomponenten.
Jim Mercer, de research vice president van DevOps en DevSecOps bij IDC, benadrukte het belang van dergelijke tools. Hij zei: "Incidenten met beveiliging, zoals log4Shell, Spring4Shell, etc., hebben ons doen beseffen dat de veiligheid van vandaag het gevaar van morgen kan zijn bij het omgaan met openbare open-source bibliotheken. Hij voegde eraan toe: Een tool die de ervaring van ontwikkelaars stroomlijnt en tegelijkertijd garandeert dat pakketten voldoen aan regelmatig bijgewerkt beveiligingsbeleid en kruisverifieerd worden aan de hand van relevante databases met kwetsbaarheden, is van vitaal belang voor de veiligheid van de hedendaagse DevOps workflows.
Bovendien maakt JFrog Curation het mogelijk om een gedetailleerde en transparante audit trail op te stellen. Deze mogelijkheid helpt organisaties om te voldoen aan de huidige en toekomstige regelgeving. Het verrijkt ook de ervaring van ontwikkelaars door het verkrijgen van geteste softwarecomponenten met minimale wrijving mogelijk te maken.
JFrog Curation bevat ook functionaliteit gericht op het voorkomen van onnodige wildgroei van verschillende toolsuites. Dit wordt bereikt via JFrog's integratie met het Software Supply Chain Platform, wat zorgt voor uniforme, geautomatiseerde operaties in verschillende ontwikkelomgevingen.