El especialista en seguridad de software JFrog y el servicio comunitario de desarrollo de código abierto GitHub están presentando integraciones que incorporan las capacidades de la plataforma de cadena de suministro de software de JFrog dentro de la plataforma de desarrollo de código de GitHub.
Los socios afirman que la alianza brindará una visión unificada del estado del proyecto y la postura de seguridad, lo que con suerte permitirá a los desarrolladores abordar vulnerabilidades potenciales en una etapa más temprana del ciclo de desarrollo de software, mejorando su eficiencia y reduciendo costos y riesgos.
JFrog dijo que la integración también amplió su visión de integrar la seguridad en cada etapa del desarrollo de software, desde la planificación hasta la producción.
“Los desarrolladores a menudo no se dan cuenta de que hay un problema hasta que algo falla; sólo entonces podrán empezar a armar el rompecabezas para descubrir qué salió mal”, dijo Yoav Landman, director de tecnología (CTO) y cofundador de JFrog.
“Nuestra asociación con GitHub permite a los equipos navegar sin problemas entre el desarrollo de código y el almacenamiento binario, lo que permite un flujo de trabajo más intuitivo.
“Se espera que esta integración mejore la experiencia y la trazabilidad de los desarrolladores, garantizando que puedan conectar fácilmente su código fuente con los binarios correspondientes mientras mantienen una visión consolidada de la seguridad para que puedan concentrarse en entregar software de alta calidad sin preocuparse por vulnerabilidades invisibles”. dijo Landman.
Jason Warner, CTO de GitHub, agregó: “No podríamos estar más entusiasmados con nuestra colaboración con JFrog para crear una experiencia de desarrollador segura y fluida al proporcionar toda la información pertinente relacionada con el estado y la seguridad de sus compilaciones en un solo lugar.
“Se espera que la combinación de las fortalezas de JFrog y GitHub mejore significativamente la seguridad de toda la cadena de suministro de software, desde el código fuente hasta los binarios”.
Se espera que la combinación de las fortalezas de JFrog y Github mejore significativamente la seguridad de toda la cadena de suministro de software, desde el código fuente hasta los binarios.
Jason Warner, GitHub
Un informe reciente de JFrog encontró que solo el 56% de las organizaciones utilizaban tanto el código fuente como el escaneo binario para proteger su cadena de suministro de software, lo que dejaba a miles de empresas expuestas a ataques en el nivel más fundamental, una propuesta muy arriesgada ya que los actores de amenazas continúan demostrando ser altamente experto en descubrir errores y fallas, e información confidencial almacenada en binarios.
El reciente descubrimiento por parte de los investigadores de JFrog de un token dejado accidentalmente en un contenedor Docket que otorgaba acceso completo al repositorio de paquetes de Python demuestra acertadamente este punto: si hubiera sido explotado, decenas de millones de sistemas en todo el mundo, incluidos muchos que ejecutan Internet central y infraestructura de nube, se habría visto afectada.
Plataforma única para proteger los flujos de trabajo
En esencia, los socios esperan que la integración ofrezca a los desarrolladores una forma más fácil y segura de rastrear la procedencia del código fuente abierto desde el código fuente hasta los binarios resultantes en ambas plataformas. La alianza logrará esto a través de tres metodologías clave, explicaron.
El primero de ellos, denominado Navegación de código bidireccional y visibilidad de trabajos, ayudará a los desarrolladores a navegar desde los flujos de trabajo de acciones de GitHub a JFrog Artifactory, y viceversa, utilizando una lista de paquetes creados bajo el resultado de la compilación hasta donde finalmente se deposita. Esto se extenderá a los paquetes de lista de materiales de software (SBOM), que pueden ayudar a los equipos a comprender mejor la procedencia del código, las dependencias, etc.
La segunda metodología, Inicio de sesión único (SSO) unificado y seguro, ayudará a abordar los problemas que surgen al cambiar entre entornos de desarrollo. Tradicionalmente, este proceso se basaba en tokens que accidentalmente pueden conllevar un riesgo tremendo. Al utilizar el soporte SSO de OpenID Connect, GitHub Actions y la plataforma JFrog establecerán una relación confiable y automatizarán la administración de tokens para verificar la identificación de los desarrolladores, permitiéndoles saltar de un entorno a otro de manera rápida y sencilla.
Finalmente, los paneles de estado de seguridad consolidados proporcionarán a los desarrolladores paneles unificados, permitiéndoles ver los resultados del análisis de seguridad de las respectivas herramientas GitHub y JFrog, junto con permisos y administración de identidades, para ayudarlos a identificar problemas más rápido.
Copiloto de GitHub
Además del anuncio principal, JFrog también ha revelado su participación en el programa Copilot Extensions existente de GitHub, que está diseñado para desbloquear la productividad de los desarrolladores a través de una función de chat que ayuda a responder preguntas comunes relevantes para sus entornos JFrog y GitHub, eliminando la necesidad de examinar resmas de documentos o dedicar tiempo a buscar en foros.
