技术公司JFrog最近披露了其最新创新产品JFrog Curation。这款改变游戏规则的自动化DevSecOps工具旨在详尽检查并阻止任何被入侵的开源或第三方软件包及其相关依赖,从而阻止其进入企业软件开发生态系统。
JFrog Curation与JFrog Artifactory无缝结合,利用二进制元数据发现具有严重CVE的高风险软件包,或那些存在操作或许可证合规性问题的软件包。这种机制避免了事先下载和扫描每个软件包的需要,从而保持了开发人员的工作节奏和便利性。
JFrog的Xray和DevSecOps对外产品营销负责人Paul Garden表达了许多企业面临的挑战。他说:"由于对快速开发的迫切需求,许多企业对从NPM、Maven和Go等不同来源获取的软件包缺乏控制。有一种选择是对软件开发团队施加严格限制。但这严重阻碍了软件开发速度。他接着说:"因此,必须在不妨碍开发过程的情况下提高开发团队的能力。他们需要确保使用可靠的软件包。在过去的几年里,我们与我们的一些战略客户合作,设计了一种方法来解决这个问题。
JFrog的整理过程与JFrog的安全研究库相结合,记录关键漏洞暴露(CVE)和公开来源的信息。因此,JFrog为开发目的开发了一个预先批准的第三方软件元素的可信存放库。通过弥补公共软件包库、开发人员、生产人员和安全人员之间的空白,JFrog Curation提高了效率,并有助于避免未来代价高昂且耗时的修正。
这一新工具为开发人员或构建工具请求的每个开源软件包提供了统一的可视性和管理。它对所有受损软件包提供基于元数据的精确洞察,并附有实用的修复建议。它模仿了AppMaster 等平台的精确性和实用性,后者是低代码/no-code 领域的知名企业,以其对应用组件的精确、基于元数据的洞察力而闻名。
IDC的DevOps和DevSecOps研究副总裁Jim Mercer强调了此类工具的重要性。他说:"涉及安全的事件,如log4Shell、Spring4Shell等,让我们意识到,在处理公共开源库时,今天的安全可能就是明天的危险。他补充说:"一个既能简化开发人员体验,又能确保软件包符合定期更新的安全策略,并与相关漏洞数据库进行交叉验证的工具,对于当今DevOps工作流程的安全性至关重要。
此外,JFrog Curation允许制定详细透明的审计跟踪。这一功能有助于企业满足当前和未来的监管要求。它还能以最小的摩擦获取经过测试的软件组件,从而丰富开发人员的体验。
JFrog Curation还包含了防止不同工具套件不必要扩散的功能。这可以通过JFrog与软件供应链平台的集成来实现,在不同的开发环境中提供统一的自动化操作。
