Teknoloji firması JFrog kısa süre önce en son yeniliği olan JFrog Curation'ı açıkladı. Bu ezber bozan otomatik DevSecOps aracı, güvenliği ihlal edilmiş açık kaynaklı veya üçüncü taraf yazılım paketlerini ve bunların ilgili bağımlılıklarını kapsamlı bir şekilde incelemeyi ve engellemeyi ve bunların kurumsal bir yazılım geliştirme ekosistemine girişlerini engellemeyi amaçlar.
JFrog Artifactory ile sorunsuz bir şekilde birleştirilen JFrog Curation, ciddi CVE'lere sahip yüksek riskli yazılım paketlerini veya operasyonel veya lisans uyumluluğu sorunları sunanları tespit etmek için ikili meta verilerden yararlanır. Bu mekanizma, her bir paketi önceden indirme ve tarama ihtiyacını ortadan kaldırarak geliştiricinin çalışma hızını ve rahatlığını korur.
JFrog'un Xray ve DevSecOps ürün pazarlamasına öncülük eden Paul Garden, birçok kuruluşun karşılaştığı zorlukları dile getirdi. Hızlı geliştirme için acil ihtiyaç nedeniyle, çok sayıda işletmenin NPM, Maven ve Go gibi çeşitli kaynaklardan alınan paketler üzerinde kontrolü yok dedi. Yazılım geliştirme ekibine ağır kısıtlamalar getirmenin bir alternatifi var. Ancak yazılım geliştirme hızını ciddi şekilde engeller. Bu nedenle, geliştirme sürecini aksatmadan geliştirme ekibini desteklemek zorunludur. Güvenilir paketler kullandıklarına dair güvenceye ihtiyaçları var. Bu sorunu ele almak için bir yöntem geliştirmek üzere son birkaç yılda birkaç stratejik müşterimizle işbirliği yaptık.
JFrog'un iyileştirme süreci, JFrog'un Güvenlik Araştırması kitaplığıyla harmanlanarak Kritik Güvenlik Açıkları Açığa Çıkmalarını (CVE) ve halka açık bilgileri kaydeder. Sonuç olarak, geliştirme amaçları için kullanılabilen, önceden onaylanmış, üçüncü taraf yazılım öğelerinin güvenilir bir deposunu geliştirir. JFrog Curation, halka açık paket havuzları, geliştiriciler, üretim ve güvenlik personeli arasındaki boşluğu doldurarak verimliliği artırır ve gelecekte maliyetli ve zaman alan düzeltmelerin önlenmesine yardımcı olur.
Bu yeni araç, bir geliştirici veya oluşturma aracı tarafından talep edilen her açık kaynak paketi üzerinde birleşik görünürlük ve yönetişim sağlar. Pratik düzeltme önerileriyle birlikte güvenliği ihlal edilmiş tüm paketler hakkında kesin, meta verilere dayalı içgörüler sunar. AppMaster, a known player in the low-code/ no-code domain, known for its accurate, metadata based insights into application components.
IDC'de DevOps ve DevSecOps araştırma başkan yardımcısı Jim Mercer, bu tür araçların önemini vurguladı. Log4Shell, Spring4Shell vb. gibi güvenliği içeren olaylar, halka açık açık kaynak kitaplıklarıyla uğraşırken bugünün güvenliğinin yarının tehlikesi olabileceğini anlamamızı sağladı. Düzenli olarak güncellenen güvenlik politikalarıyla paketin uyumluluğunu sağlarken geliştirici deneyimini kolaylaştıran ve ilgili güvenlik açığı veritabanlarına karşı çapraz doğrulama yapan bir araç, günümüz DevOps iş akışlarının güvenliği için hayati öneme sahiptir.
Ayrıca JFrog Curation, ayrıntılı ve şeffaf bir denetim izinin oluşturulmasına olanak tanır. Bu yetenek, kuruluşlara mevcut ve gelecekteki yasal gereklilikleri karşılamada yardımcı olur. Ayrıca, test edilmiş yazılım bileşenlerinin minimum sürtünme ile edinilmesini sağlayarak geliştirici deneyimini zenginleştirir.
JFrog Curation, farklı araç takımlarının gereksiz yere çoğalmasını önlemeyi amaçlayan işlevsellik de içerir. Bu, JFrog'un Yazılım Tedarik Zinciri Platformu ile entegrasyonu yoluyla gerçekleştirilir ve çeşitli geliştirme ayarlarında tek tip, otomatikleştirilmiş işlemler sağlar.