Specjalista ds. bezpieczeństwa oprogramowania Żaba i społeczności zajmującej się rozwojem oprogramowania typu open source GitHub ujawniają integracje, które pozwalają na wykorzystanie możliwości platformy łańcucha dostaw oprogramowania JFrog w platformie do tworzenia kodu GitHub.
Partnerzy twierdzą, że dzięki współpracy uzyskają ujednolicony obraz statusu projektu i poziomu bezpieczeństwa, co pozwoli deweloperom na wcześniejsze wykrywanie potencjalnych luk w zabezpieczeniach cyklu tworzenia oprogramowania, co przełoży się na poprawę ich wydajności i redukcję kosztów oraz ryzyka.
JFrog powiedział, że integracja rozszerzyła również jego wizję integracji zabezpieczeń na każdym etapie rozwój oprogramowania od planowania do produkcji.
„Programiści często nie zdają sobie sprawy z istnienia problemu, dopóki coś się nie zepsuje. Dopiero wtedy mogą zacząć składać puzzle w całość, aby dowiedzieć się, co poszło nie tak” — powiedział Yoav Landman, dyrektor ds. technologii (CTO) i współzałożyciel JFrog.
„Nasze partnerstwo z GitHub umożliwia zespołom płynne poruszanie się między tworzeniem kodu a przechowywaniem plików binarnych, co przekłada się na bardziej intuicyjny przepływ pracy.
„Oczekuje się, że ta integracja usprawni pracę programistów i zwiększy ich identyfikowalność, zapewniając im możliwość łatwego łączenia kodu źródłowego z odpowiednimi plikami binarnymi przy jednoczesnym zachowaniu skonsolidowanego obrazu bezpieczeństwa. Dzięki temu będą mogli skupić się na dostarczaniu wysokiej jakości oprogramowania bez obaw o niezauważone luki w zabezpieczeniach” — powiedział Landman.
Dyrektor techniczny GitHub, Jason Warner, dodał: „Nie możemy być bardziej podekscytowani naszą współpracą z JFrog, która ma na celu stworzenie płynnego, bezpiecznego środowiska dla deweloperów poprzez zapewnienie wszystkich istotnych informacji związanych ze statusem i bezpieczeństwem ich kompilacji w jednym miejscu.
„Oczekuje się, że połączenie potencjału JFrog i GitHub znacznie zwiększy bezpieczeństwo całego łańcucha dostaw oprogramowania, od kodu źródłowego po pliki binarne”.
Jason Warner, GitHub
Niedawny Raport JFrog ustalono, że tylko 56% organizacji używało zarówno kodu źródłowego, jak i skanowania plików binarnych w celu zabezpieczenia łańcucha dostaw oprogramowania, co narażało tysiące firm na ataki na najbardziej podstawowym poziomie – jest to bardzo ryzykowne przedsięwzięcie, ponieważ sprawcy zagrożeń nadal wykazują się dużą sprawnością w wykrywaniu zarówno błędów i wad, jak i poufnych informacji przechowywanych w plikach binarnych.
Niedawne odkrycie przez badaczy z JFrog tokena przypadkowo pozostawionego w kontenerze Docket, który zapewniał pełny dostęp do repozytorium pakietów Pythona, trafnie ilustruje tę tezę – gdyby został wykorzystany, dziesiątki milionów systemów na całym świecie, w tym wiele obsługujących podstawową infrastrukturę internetową i chmurową, zostałoby dotkniętych.
Jedna platforma do zabezpieczania przepływów pracy
W istocie partnerzy oczekują, że integracja zaoferuje deweloperom łatwiejszy i bezpieczniejszy sposób śledzenia pochodzenia kodu open source od źródła do wynikowych plików binarnych na obu platformach. Połączenie to zostanie osiągnięte za pomocą trzech kluczowych metodologii, wyjaśnili.
Pierwsza z nich, nazwana Bidirectional Code Navigation and Job Visibility, pomoże deweloperom poruszać się z GitHub Actions Workflows do JFrog Artifactory i z powrotem, korzystając z listy pakietów utworzonych w wyniku kompilacji, gdzie zostaną ostatecznie zdeponowane. To rozszerzy się na lista materiałów oprogramowania (SBOM), które mogą pomóc zespołom lepiej zrozumieć pochodzenie kodu, zależności itd.
Druga metodologia, Unified, Secure Pojedyncze logowanie (SSO) pomoże rozwiązać problemy pojawiające się podczas przełączania się między środowiskami programistycznymi. Tradycyjnie proces ten opierał się na tokenach, które mogą przypadkowo nieść ze sobą ogromne ryzyko. Korzystanie Połącz OpenID Obsługa SSO, GitHub Actions i platforma JFrog pozwolą na nawiązanie zaufanej relacji i zautomatyzowanie zarządzania tokenami w celu weryfikacji tożsamości programistów, umożliwiając im szybkie i łatwe przechodzenie między środowiskami.
Wreszcie, Consolidated Security Status Dashboards zapewnią deweloperom ujednolicone pulpity nawigacyjne, dzięki którym będą mogli przeglądać wyniki skanowania bezpieczeństwa z odpowiednich narzędzi GitHub i JFrog, a także zarządzać uprawnieniami i tożsamościami, co pomoże im szybciej identyfikować problemy.
GitHub Copilot
Oprócz głównego ogłoszenia firma JFrog ujawniła również swój udział w istniejącej platformie GitHub Program rozszerzeń drugiego pilotaktóry ma na celu zwiększenie produktywności programistów dzięki funkcji czatu, która pomaga uzyskać odpowiedzi na często zadawane pytania dotyczące środowisk JFrog i GitHub, eliminując potrzebę przeszukiwania stert dokumentów lub spędzania czasu na przeszukiwaniu forów.