JFrog mengumumkan pengenalan Kurasi JFrog, solusi DevSecOps otomatis yang dirancang untuk memeriksa dan memblokir paket perangkat lunak open source atau pihak ketiga yang terkontaminasi dan ketergantungannya masing-masing sebelum memasuki lingkungan pengembangan perangkat lunak perusahaan.

Kurasi JFrog, yang terintegrasi dengan JFrog Artifactory, menggunakan metadata biner untuk mengidentifikasi paket berisiko tinggi dengan CVE tingkat keparahan tinggi serta masalah kepatuhan operasional atau lisensi. Ini menghilangkan kebutuhan untuk mengunduh setiap paket untuk pemindai sebelum digunakan, sehingga menjaga kecepatan dan kenyamanan pengembang.

“Banyak perusahaan tidak memiliki kontrol. Dan karena kebutuhan akan kecepatan, pengembang menarik semua jenis paket dari NPM, Maven, dan Go. Pilihan buruk lainnya adalah, “Hei, saya dapat memberikan banyak batasan pada tim pengembangan perangkat lunak saya, tetapi itu mematikan perangkat lunak saya kecepatan pengembangan, jadi saya perlu mencari cara untuk mengaktifkan tim pengembangan saya tanpa memperlambat pengembangan saya.” ‘ Pada saat yang sama, mereka ingin mengetahui bahwa mereka menggunakan paket tepercaya, ”kata Paul Garden, yang memimpin fungsi pemasaran produk keluar JFrog Xray dan DevSecOps di JFrog. “Jadi pada dasarnya itulah masalah besar yang sedang kami selesaikan. Dan kami sebenarnya telah bekerja dengan beberapa pelanggan strategis kami selama hampir dua tahun tentang bagaimana kami melakukan pendekatan ini. »

Kurasi JFrog memeriksa paket perangkat lunak yang masuk dengan Perpustakaan Penelitian Keamanan JFrog untuk Eksposur Kerentanan Kritis (CVE) terdaftar dan informasi yang tersedia untuk umum. Proses ini membuat repositori tepercaya dari komponen perangkat lunak pihak ketiga yang telah disetujui sebelumnya untuk tujuan pengembangan. Dengan menjembatani kesenjangan antara repositori paket publik, pengembang, manajer produksi dan keamanan, Kurasi JFrog meningkatkan efisiensi dan membantu menghindari tambalan yang mahal dan memakan waktu.

Alat ini memberikan visibilitas dan tata kelola terpusat dari setiap paket sumber terbuka yang diminta oleh pengembang atau alat bangun, menawarkan informasi berbasis metadata yang akurat pada semua paket yang disusupi, dengan saran perbaikan yang dapat ditindaklanjuti.

“Insiden keamanan seperti log4Shell, Spring4Shell, dll., telah mengajarkan kita bahwa apa yang aman hari ini mungkin tidak akan aman besok ketika menggunakan perpustakaan open source publik,” kata Jim Mercer, VP -president penelitian DevOps dan DevSecOps di IDC. “Alat yang menyederhanakan pengalaman pengembang sambil memastikan bahwa paket mematuhi kebijakan keamanan yang ditetapkan dan diperbarui secara berkala, dan divalidasi terhadap basis data kerentanan yang relevan, sangat penting untuk alur kerja yang aman. DevOps Modern.”

Kurasi JFrog juga memungkinkan terciptanya jejak audit yang lengkap dan transparan, membantu organisasi mematuhi persyaratan peraturan saat ini dan di masa mendatang. Ini meningkatkan pengalaman pengembang dengan membuatnya lebih mudah untuk mengambil komponen perangkat lunak tepercaya dengan gesekan minimal.

Alat ini juga membantu mencegah distribusi berlebihan dari rangkaian alat yang berbeda melalui integrasinya dengan platform JFrog Software Supply Chain, yang menyediakan proses yang konsisten dan otomatis di semua lingkungan pengembangan.