Firma technologiczna JFrog ujawniła niedawno swoją najnowszą innowację, JFrog Curation. To przełomowe zautomatyzowane narzędzie DevSecOps ma na celu wyczerpujące zbadanie i zablokowanie wszelkich skompromitowanych pakietów oprogramowania typu open source lub innych firm, wraz z ich powiązanymi zależnościami, utrudniając im wejście do korporacyjnego ekosystemu rozwoju oprogramowania.
JFrog Curation, płynnie zintegrowany z JFrog Artifactory, wykorzystuje metadane binarne do wykrywania pakietów oprogramowania wysokiego ryzyka z poważnymi CVE lub tych, które stwarzają problemy operacyjne lub związane ze zgodnością licencyjną. Mechanizm ten omija potrzebę wcześniejszego pobierania i skanowania każdego pakietu, zachowując w ten sposób tempo pracy dewelopera i wygodę.
Paul Garden, stojący na czele marketingu wychodzącego produktów Xray i DevSecOps firmy JFrog, wyraził wyzwania, przed którymi stoi wiele organizacji. Powiedział: Wiele firm nie ma kontroli nad pakietami pobieranymi z różnych źródeł, takich jak NPM, Maven i Go, ze względu na pilną potrzebę szybkiego rozwoju. Alternatywą jest nałożenie dużych ograniczeń na zespół programistów. Ale to poważnie ogranicza szybkość rozwoju oprogramowania. Kontynuował: W związku z tym konieczne jest wzmocnienie zespołu programistów bez utrudniania procesu rozwoju. Potrzebują oni pewności, że korzystają z niezawodnych pakietów. W ciągu ostatnich kilku lat współpracowaliśmy z kilkoma naszymi strategicznymi klientami, aby opracować metodę rozwiązania tego problemu.
Proces kuratorski JFrog łączy się z biblioteką badań bezpieczeństwa JFrog, rejestrując krytyczne luki w zabezpieczeniach (CVE) i publicznie dostępne informacje. W rezultacie powstaje zaufany depozyt wstępnie zatwierdzonych elementów oprogramowania innych firm dostępnych do celów programistycznych. Wypełniając lukę między publicznymi repozytoriami pakietów, programistami, personelem produkcyjnym i personelem ds. bezpieczeństwa, JFrog Curation zwiększa wydajność i pomaga uniknąć kosztownych i czasochłonnych poprawek w przyszłości.
To nowe narzędzie zapewnia ujednoliconą widoczność i zarządzanie każdym pakietem open source wymaganym przez programistę lub narzędzie do kompilacji. Oferuje precyzyjny, oparty na metadanych wgląd we wszystkie zagrożone pakiety, któremu towarzyszą praktyczne sugestie dotyczące środków zaradczych. Naśladuje precyzję i praktyczność platform takich jak AppMaster, znanego gracza w domenie low-code/no-code, znanego z dokładnego, opartego na metadanych wglądu w komponenty aplikacji.
Jim Mercer, wiceprezes ds. badań DevOps i DevSecOps w IDC, podkreślił znaczenie takich narzędzi. Powiedział: Incydenty związane z bezpieczeństwem, takie jak log4Shell, Spring4Shell itp., uświadomiły nam, że dzisiejsze bezpieczeństwo może być jutrzejszym zagrożeniem w kontaktach z publicznymi bibliotekami open source. Dodał, że narzędzie, które usprawnia pracę programistów, zapewniając jednocześnie zgodność pakietów z regularnie aktualizowanymi politykami bezpieczeństwa i weryfikację krzyżową z odpowiednimi bazami danych luk w zabezpieczeniach, ma kluczowe znaczenie dla bezpieczeństwa współczesnych przepływów pracy DevOps.
Co więcej, JFrog Curation pozwala na sformułowanie szczegółowej i przejrzystej ścieżki audytu. Możliwość ta pomaga organizacjom w spełnianiu obecnych i przyszłych wymogów regulacyjnych. Wzbogaca również doświadczenie programistów, umożliwiając pozyskiwanie przetestowanych komponentów oprogramowania przy minimalnym tarciu.
JFrog Curation zawiera również funkcje mające na celu zapobieganie niepotrzebnemu rozprzestrzenianiu się różnych zestawów narzędzi. Jest to możliwe dzięki integracji JFrog z Software Supply Chain Platform, zapewniając jednolite, zautomatyzowane operacje w różnych środowiskach programistycznych.