Технологическая компания JFrog недавно представила свою последнюю новинку - JFrog Curation. Этот автоматизированный DevSecOps-инструмент призван всесторонне исследовать и блокировать любые скомпрометированные программные пакеты с открытым кодом или сторонних разработчиков, а также связанные с ними зависимости, препятствуя их внедрению в корпоративную экосистему разработки ПО.
JFrog Curation, органично вписанный в JFrog Artifactory, использует бинарные метаданные для выявления программных пакетов повышенного риска, имеющих серьезные CVE или представляющих проблемы с эксплуатацией или соблюдением лицензионных требований. Этот механизм позволяет избежать необходимости предварительного скачивания и сканирования каждого пакета, что сохраняет темп работы и удобство для разработчика.
Пол Гарден, возглавляющий направление маркетинга продуктов Xray и DevSecOps компании JFrog, рассказал о проблемах, с которыми сталкиваются многие организации. По его словам, многие компании не контролируют пакеты, получаемые из различных источников, таких как NPM, Maven и Go, из-за острой необходимости в быстрой разработке. Есть альтернатива - наложить большие ограничения на команду разработчиков. Но это сильно снижает скорость разработки программного обеспечения. Поэтому крайне важно увеличить численность команды разработчиков, не затрудняя при этом процесс разработки. Им нужна уверенность в том, что они используют надежные пакеты. За последние пару лет мы совместно с несколькими нашими стратегическими клиентами разработали метод решения этой проблемы.
Процесс курирования в JFrog сочетается с библиотекой исследований безопасности JFrog, записью критических уязвимостей (CVE) и информацией из открытых источников. В результате создается доверенное хранилище предварительно одобренных элементов программного обеспечения сторонних разработчиков, доступных для использования в целях разработки. Устраняя разрыв между публичными репозиториями пакетов, разработчиками, производственным персоналом и сотрудниками служб безопасности, JFrog Curation повышает эффективность и помогает избежать дорогостоящих и трудоемких исправлений в будущем.
Этот новый инструмент обеспечивает единую видимость и управление каждым пакетом с открытым исходным кодом, запрашиваемым разработчиком или средством сборки. Он предлагает точную, основанную на метаданных информацию обо всех скомпрометированных пакетах, сопровождаемую практическими предложениями по исправлению ситуации. Она имитирует точность и практичность таких платформ, как AppMaster, известного игрока в области low-code/no-code, известного своими точными, основанными на метаданных сведениями о компонентах приложений.
Джим Мерсер, вице-президент по исследованиям DevOps и DevSecOps компании IDC, подчеркнул важность таких инструментов. По его словам, инциденты, связанные с безопасностью, такие как log4Shell, Spring4Shell и т.д., заставили нас понять, что сегодняшняя безопасность может оказаться завтрашней опасностью при работе с публичными библиотеками с открытым исходным кодом. По его словам, инструмент, который упрощает работу разработчиков, обеспечивая при этом соответствие пакетов регулярно обновляемым политикам безопасности и перекрестную проверку по соответствующим базам уязвимостей, жизненно необходим для обеспечения безопасности современных рабочих процессов DevOps.
Кроме того, JFrog Curation позволяет формировать подробный и прозрачный аудиторский след. Эта возможность помогает организациям соответствовать современным и будущим нормативным требованиям. Кроме того, она обогащает опыт разработчиков, позволяя приобретать проверенные программные компоненты с минимальными трудностями.
JFrog Curation также содержит функциональность, направленную на предотвращение ненужного распространения различных наборов инструментов. Это достигается за счет интеграции JFrog с платформой Software Supply Chain Platform, обеспечивающей единообразие и автоматизацию операций в различных условиях разработки.