บริษัทเทคโนโลยี JFrog เพิ่งเปิดตัวนวัตกรรมล่าสุด JFrog Curation เครื่องมือ DevSecOps อัตโนมัติที่พลิกเกมนี้มีจุดมุ่งหมายเพื่อตรวจสอบและขัดขวางแพ็คเกจซอฟต์แวร์โอเพ่นซอร์สหรือบุคคลที่สามที่ถูกบุกรุกอย่างละเอียดถี่ถ้วน รวมถึงการอ้างอิงที่เกี่ยวข้อง ซึ่งขัดขวางการเข้าสู่ระบบนิเวศการพัฒนาซอฟต์แวร์ขององค์กร
JFrog Curation ซึ่งรวมเข้ากับ JFrog Artifactory ได้อย่างราบรื่น ใช้ประโยชน์จากข้อมูลเมตาไบนารีเพื่อระบุแพ็คเกจซอฟต์แวร์ที่มีความเสี่ยงสูงที่มี CVE ที่รุนแรง หรือปัญหาที่นำเสนอในการดำเนินการหรือการปฏิบัติตามใบอนุญาต กลไกนี้หลีกเลี่ยงความจำเป็นในการดาวน์โหลดและสแกนแต่ละแพ็คเกจล่วงหน้า ซึ่งจะช่วยรักษาจังหวะการทำงานและความสะดวกสบายของนักพัฒนา
Paul Garden ซึ่งเป็นหัวหอกของ JFrog's Xray และ DevSecOps ด้านการตลาดผลิตภัณฑ์ภายนอก กล่าวถึงความท้าทายที่หลายองค์กรต้องเผชิญ เขากล่าวว่า ธุรกิจจำนวนมากขาดการควบคุมเมื่อแพ็คเกจถูกดึงจากแหล่งต่างๆ เช่น NPM, Maven และ Go เนื่องจากความต้องการเร่งด่วนสำหรับการพัฒนาที่รวดเร็ว มีทางเลือกอื่นในการกำหนดข้อจำกัดที่เข้มงวดกับทีมพัฒนาซอฟต์แวร์ แต่มันขัดขวางความเร็วการพัฒนาซอฟต์แวร์อย่างมาก เขากล่าวต่อว่า ดังนั้น จึงจำเป็นอย่างยิ่งที่จะต้องส่งเสริมทีมพัฒนาโดยไม่ขัดขวางกระบวนการพัฒนา พวกเขาต้องการความมั่นใจว่าพวกเขากำลังใช้แพ็คเกจที่เชื่อถือได้ เราได้ร่วมมือกับลูกค้าเชิงกลยุทธ์ของเราหลายรายในช่วงสองสามปีที่ผ่านมาเพื่อคิดค้นวิธีการแก้ไขปัญหานี้
กระบวนการดูแลจัดการของ JFrog ผสมผสานกับไลบรารีการวิจัยความปลอดภัยของ JFrog การบันทึก Critical Vulnerabilities Exposures (CVE) และข้อมูลที่เปิดเผยต่อสาธารณะ ด้วยเหตุนี้ บริษัทจึงพัฒนาแหล่งรวมองค์ประกอบซอฟต์แวร์ของบุคคลที่สามที่ได้รับการอนุมัติล่วงหน้าและเชื่อถือได้ซึ่งมีไว้เพื่อวัตถุประสงค์ในการพัฒนา ด้วยการเชื่อมความว่างเปล่าระหว่างที่เก็บแพ็คเกจสาธารณะ นักพัฒนา การผลิต และเจ้าหน้าที่รักษาความปลอดภัย JFrog Curation ยกระดับประสิทธิภาพและช่วยหลีกเลี่ยงการแก้ไขที่มีค่าใช้จ่ายสูงและใช้เวลานานในอนาคต
เครื่องมือใหม่นี้ให้การมองเห็นและการกำกับดูแลที่เป็นหนึ่งเดียวสำหรับทุกแพ็คเกจโอเพ่นซอร์สที่นักพัฒนาหรือเครื่องมือสร้างร้องขอ นำเสนอข้อมูลเชิงลึกที่แม่นยำและอิงตามข้อมูลเมตาของแพ็คเกจที่ถูกบุกรุกทั้งหมด พร้อมด้วยคำแนะนำในการแก้ไขที่ใช้งานได้จริง โดยเลียนแบบความแม่นยำและการใช้งานจริงของแพลตฟอร์มอย่างเช่น AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
Jim Mercer รองประธานฝ่ายวิจัยของ DevOps และ DevSecOps ที่ IDC ได้เน้นย้ำถึงความสำคัญของเครื่องมือดังกล่าว เขากล่าวว่า เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น log4Shell, Spring4Shell เป็นต้น ทำให้เราตระหนักว่าความปลอดภัยในปัจจุบันอาจเป็นอันตรายในวันพรุ่งนี้ เมื่อต้องรับมือกับไลบรารีโอเพนซอร์สสาธารณะ เขากล่าวเสริมว่า เครื่องมือที่ช่วยเพิ่มความคล่องตัวให้กับประสบการณ์ของนักพัฒนาในขณะเดียวกันก็รับประกันความสอดคล้องกับนโยบายความปลอดภัยที่อัปเดตเป็นประจำ และตรวจสอบข้ามกับฐานข้อมูลช่องโหว่ที่เกี่ยวข้อง มีความสำคัญต่อการรักษาความปลอดภัยของเวิร์กโฟลว์ DevOps ในปัจจุบัน
ยิ่งไปกว่านั้น JFrog Curation ช่วยให้สามารถกำหนดแนวทางการตรวจสอบอย่างละเอียดและโปร่งใสได้ ความสามารถนี้ช่วยองค์กรในการปฏิบัติตามข้อกำหนดด้านกฎระเบียบในปัจจุบันและที่จะเกิดขึ้น นอกจากนี้ยังเพิ่มพูนประสบการณ์ของนักพัฒนาด้วยการเปิดใช้งานการได้มาซึ่งส่วนประกอบซอฟต์แวร์ที่ผ่านการทดสอบโดยมีแรงเสียดทานน้อยที่สุด
JFrog Curation ยังมีฟังก์ชันการทำงานที่มุ่งป้องกันการเพิ่มจำนวนโดยไม่จำเป็นของชุดเครื่องมือต่างๆ สิ่งนี้สำเร็จได้ผ่านการผสานรวมของ JFrog กับแพลตฟอร์ม Software Supply Chain ซึ่งให้การทำงานแบบอัตโนมัติที่สม่ำเสมอในการตั้งค่าการพัฒนาต่างๆ