Ganzheitlicher Schutz der gesamten Software-Lieferkette

JFrog, das Liquid Software Unternehmen und Entwickler der JFrog Software Supply Chain Plattform , und GitHub, die weltweit führende Plattform für die Code-Entwicklung, stellen neue Integrationen vor. Die vertiefte Zusammenarbeit bietet Entwicklern einen konsolidierten Überblick über den Projektstatus und die Sicherheitslage, um potenzielle Schwachstellen, die durch die jeweiligen Advanced-Security-Angebote der Unternehmen entdeckt wurden, schnell zu beheben.

Um Entwicklern außerdem einen schnellen Einblick in Pakete von Drittanbietern zu ermöglichen, kündigten die Unternehmen eine Copilot-Chat-Erweiterung an, mit der sich schnell Softwarepakete auswählen lassen, die aktualisiert, von der Organisation genehmigt und sicher sind.

„Damit Entwickler produktiv sein können, benötigen sie vollständige Informationen über die Qualität und Sicherheit des Codes und der Binärdateien, die sie in ihre Software integrieren. Unsere Partnerschaft mit GitHub ermöglicht es Teams, dies mithilfe von Copilot schnell und zuverlässig zu tun“, so Yoav Landman, CTO und Mitbegründer von JFrog. „Unsere Partnerschaft ermöglicht Entwicklern eine intuitive Navigation zwischen Code und den im Build-Prozess erzeugten binären Artefakten, wodurch sie schneller vertrauenswürdige Software erstellen und veröffentlichen können. Wir sind begeistert von unserer gemeinsamen Roadmap und der Aussicht, unseren Kunden eine nahtlos integrierte Plattform zu bieten."

Laut dem Software Supply Chain State of the Union 2024 Report von JFrog nutzen nur 56 Prozent der Unternehmen sowohl Quellcode- als auch Binärscans, um ihre Software-Lieferketten zu sichern, sodass fast die Hälfte der Unternehmen anfällig für Angriffe auf Binärebene ist. Dies ist sehr riskant, wie die jüngste Entdeckung des JFrog Security Research Teams eines versehentlich auf der Binärebene in einem Docker-Container zurückgelassenen Tokens unterstreicht, das vollen Zugriff auf das Python-Paket-Repository gewährte. Wäre dieses Token entdeckt und ausgenutzt worden, hätte dies Auswirkungen auf zig Millionen Computersysteme weltweit gehabt, auf denen die meisten der heutigen Internet- und Cloud-Infrastrukturen, Automatisierungsaufgaben, Finanzdienstleistungen und Datenanalysen laufen.

Sichere Entwickler-Workflows durch die Zusammenführung von erstklassigem Quellcode und Binärplattformen

Die Integration von JFrog in GitHub ermöglicht eine nahtlose und sichere Verfolgung des Codes von der Quelle bis zu den resultierenden Binärdateien auf beiden Plattformen, unterstützt durch folgende zentrale Funktionen:

• Copilot-Chat-Integration für Einblicke in Softwarepakete: Die neue GitHub-Copilot-Erweiterung steigert die Produktivität von Entwicklern, indem sie Einblicke in Open-Source-Pakete Pakete innerhalb der Binärumgebung neben GitHub-Code-Daten und macht das Durchsuchen von Dokumentationen oder Online-Foren überflüssig. Außerdem werden Empfehlungen mit den Kurationsrichtlinien der Organisation in Einklang gebracht, sodass fundierte Entscheidungen über Softwarepakete unter Berücksichtigung von Sicherheit und Marktakzeptanz getroffen werden können. Durch die Kombination der Chat-Funktionen von Copilot mit den Artefakt-Metadaten von JFrog entsteht ein unschätzbarer KI-gestützter Assistent für Entwickler.
• Konsolidiertes Sicherheits-Dashboard mit einer einzigen Oberfläche: Eine einheitliche Ansicht der Ergebnisse von Sicherheitsscans von GitHub Advanced Security und JFrog Advanced Security (einschließlich der Scanner, die die oben erwähnte Python-Schwachstelle gefunden haben), die Entwicklern dabei hilft, potenzielle Software-Schwachstellen früher im Entwicklungslebenszyklus zu beheben und zu beseitigen, wodurch Zeit gespart und Risiken reduziert werden.
• Bidirektionale End-to-End-Release-Linie: Die neue Job-Übersichtsseite auf GitHub bietet einen schnellen Überblick über den Gesundheits- und Sicherheitsstatus jedes GitHub Actions Workflows, sodass Entwickler die Ausgabepakete jedes Builds schnell sehen und zu ihrem Speicherort in JFrog Artifactory und wieder zurück navigieren können. Diese bidirektionale Navigation verwendet eine Software-Stückliste (SBOM), die in JFrog Artifactory gespeichert ist, und verbessert so die Rückverfolgbarkeit der Software-Linie.
• Dynamische Projektzuordnung und -authentifizierung: Verbesserte automatische Autorisierung und nahtlose Projektzuordnung zwischen GitHub-Repositorys und JFrog-Projekten in Artifactory unter Verwendung der aktuellen OpenID Connect (OIDC)-Integration, wodurch Entwickler sich nicht mehr pro Repository neu authentifizieren müssen.