2024 年 9 月 18 日 — 流式软件公司、JFrog软件供应链平台的缔造者JFrog与全球领先的代码开发平台GitHub近期在 JFrog 年度用户大会上发布全新集成功能,通过持续深化的合作为开发者提供能够呈现项目状态和安全态势的综合视图,帮助他们快速解决公司高级安全产品发现的潜在漏洞。此外,为帮助开发者深入快速了解第三方软件包,双方还宣布推出 Copilot Chat扩展插件,以快速选择已更新、经企业批准且可安全使用的软件包。
JFrog 首席技术官兼联合创始人 Yoav Landman 表示:“ 开发者要想提高工作效率,就需要全面了解他们集成到软件中的代码和二进制文件的质量和安全性。我们与 GitHub 的合作使团队能够使用 Copilot 快速了解并确保这些信息的可信度。我们的合作还使开发者能够通过更直观的工作流,在代码和构建过程当中生成的二进制制品之间进行导航,以便其更快地构建和发布受信软件。我们共绘发展蓝图,并期待为我们的客户提供统一的平台体验。”
根据 JFrog 发布的《2024年全球软件供应链发展报告》,只有 56% 的公司会同时使用源代码和二进制扫描来保护其软件供应链,这使得近半数的公司面临着二进制级别的安全漏洞风险,而这为企业带来了巨大的安全隐患。 同时,JFrog 安全研究团队近期发现Docker 容器中意外遗留了一个令牌,该令牌授予了对 Python 包存储库的完全访问权限。如果此令牌被发现和利用,将影响全球数千万台计算机系统,这些系统支撑着当今大多数互联网和云基础设施、自动化工作任务、金融服务和数据分析。
通过整合最佳源代码和二进制平台,创建安全的开发者工作流
JFrog 与 GitHub 的集成有望提供一种更简单、更安全的方式,从而实现在两个平台上追踪从源代码到所生成的二进制文件的代码周期,主要功能如下:
- 通过Copilot Chat 集成可获得有关软件包的深入洞察:全新 GitHub Copilot 扩展插件通过在 JFrog 二进制环境中提供有关开源软件包的深入洞察以及 GitHub 代码数据,使开发者无需搜索文档或在线论坛,从而提高工作效率。其提供的建议符合企业的管理政策,使开发者能够基于安全性和市场应用情况选择软件包,从而根据业务做出明智之选。将 Copilot 的聊天功能与 JFrog 的制品元数据相结合,为开发者打造了一个强大的 AI 助手。
- 整合型安全统一管理面板:GitHub Advanced Security 和 JFrog Advanced Security(包括发现上述 Python 漏洞的扫描程序)安全扫描结果的统一视图可帮助开发者在开发生命周期的早期阶段识别并消除潜在的软件漏洞,从而节省时间成本并降低风险。
- 双向端到端发布追溯:GitHub 上的全新作业摘要页面为开发者提供了每个 GitHub Actions 工作流运行和安全状态的快速视图,使开发者可以迅速查看每个构建的输出软件包,轻松跳转至JFrog Artifactory 中的位置并返回原页面。这种双向导航利用 JFrog Artifactory 中保存的软件物料清单(SBOM),增强了软件追溯能力。
- 动态项目映射和身份验证:利用当前的 OpenID Connect(OIDC)集成,改进了 GitHub 存储库和 Artifactory 中JFrog 项目之间的自动授权和无缝项目映射,开发者无需对每个存储库重新进行身份验证。