A empresa de tecnologia JFrog revelou recentemente a sua mais recente inovação, a JFrog Curation. Esta ferramenta DevSecOps automatizada e revolucionária tem como objetivo examinar exaustivamente e obstruir quaisquer pacotes de software de código aberto ou de terceiros comprometidos, juntamente com as suas dependências relacionadas, impedindo a sua entrada num ecossistema de desenvolvimento de software empresarial.
O JFrog Curation, perfeitamente incorporado no JFrog Artifactory, aproveita os metadados binários para detetar pacotes de software de alto risco com CVEs graves ou que apresentem problemas operacionais ou de conformidade com licenças. Este mecanismo evita a necessidade de descarregar e analisar previamente cada pacote, preservando assim o ritmo de trabalho e a conveniência do programador.
Paul Garden, que lidera o marketing de produtos Xray e DevSecOps da JFrog, expressou os desafios que muitas organizações enfrentam. Ele disse: "Uma grande quantidade de empresas não tem controle sobre os pacotes que são puxados de várias fontes como NPM, Maven e Go devido à necessidade urgente de desenvolvimento rápido. Há uma alternativa de impor restrições pesadas à equipa de desenvolvimento de software. Mas isso impede severamente a velocidade de desenvolvimento de software. Ele continuou: "Por isso, é imperativo aumentar a equipa de desenvolvimento sem prejudicar o processo de desenvolvimento. Eles precisam de ter a certeza de que estão a utilizar pacotes fiáveis. Colaborámos com vários dos nossos clientes estratégicos ao longo dos últimos dois anos para conceber um método para resolver esta questão.
O processo de curadoria do JFrog se mistura com a biblioteca de Pesquisa de Segurança do JFrog, registrando Exposições de Vulnerabilidades Críticas (CVE) e informações de fontes públicas. Como resultado, desenvolve um depósito fiável de elementos de software de terceiros pré-aprovados e disponíveis para fins de desenvolvimento. Ao preencher a lacuna entre repositórios de pacotes públicos, desenvolvedores, produção e pessoal de segurança, o JFrog Curation aumenta a eficiência e ajuda a evitar correções caras e demoradas no futuro.
Essa nova ferramenta fornece visibilidade unificada e governança sobre cada pacote de código aberto solicitado por um desenvolvedor ou ferramenta de compilação. Oferece informações precisas e baseadas em metadados sobre todos os pacotes comprometidos, acompanhadas de sugestões práticas de correção. Imita a precisão e o carácter prático de plataformas como AppMaster, um interveniente conhecido no domínio low-code/no-code, conhecido pelas suas informações precisas e baseadas em metadados sobre os componentes das aplicações.
Jim Mercer, vice-presidente de investigação de DevOps e DevSecOps da IDC, salientou a importância destas ferramentas. Segundo ele, incidentes envolvendo segurança, como log4Shell, Spring4Shell, etc., nos fizeram perceber que a segurança de hoje pode ser o perigo de amanhã ao lidar com bibliotecas públicas de código aberto. Ele acrescentou: "Uma ferramenta que simplifica a experiência do desenvolvedor e, ao mesmo tempo, garante a conformidade do pacote com políticas de segurança atualizadas regularmente, e faz a verificação cruzada com bancos de dados de vulnerabilidades relevantes, é vital para a segurança dos fluxos de trabalho DevOps atuais.
Além disso, o JFrog Curation permite a formulação de uma trilha de auditoria detalhada e transparente. Esse recurso ajuda as organizações a atender aos requisitos regulatórios atuais e futuros. Ele também enriquece a experiência do desenvolvedor, permitindo a aquisição de componentes de software testados com o mínimo de atrito.
O JFrog Curation também contém funcionalidades que visam evitar a proliferação desnecessária de diferentes conjuntos de ferramentas. Isso é realizado através da integração do JFrog com a Plataforma da Cadeia de Suprimentos de Software, fornecendo operações uniformes e automatizadas em várias configurações de desenvolvimento.
