JFrog hat heute die automatisierte DevSecOps-Lösung JFrog Curation vorgestellt. JFrog Curation bietet eine zentralisierte Governance und blockiert bösartige Open-Source- oder Drittanbieter-Softwarepakete und ihre jeweiligen Abhängigkeiten, bevor sie in die Softwareentwicklungsumgebung eines Unternehmens gelangen.
JFrog Curation ist nativ in das JFrog Artifactory Binary Repository integriert und ist einzigartig in seiner Verwendung von binären Metadaten zur Identifizierung von bösartigen Paketen mit höherem Schweregrad von CVEs, Betriebs- oder Lizenzkonformitätsproblemen - wodurch die Notwendigkeit entfällt, jedes Paket vor der Verwendung zum Scannen herunterzuladen, was die Geschwindigkeit und den Komfort für Entwickler bewahrt.
„Softwareentwickler nutzen Millionen von Open-Source-Komponenten, um die Projektabwicklung zu beschleunigen und sich einen Wettbewerbsvorteil zu verschaffen, aber diese Praxis könnte missbraucht werden, um bösartige Pakete und Schwachstellen in den Code einzuschleusen - und damit das Risiko von Angriffen auf die Software-Lieferkette zu erhöhen", sagt Asaf Karas, CTO of Security, JFrog.
„Anwendungssicherheit muss ernst genommen und ganzheitlich betrachtet werden, von der Erstellung bis zur Laufzeit auf Edge-Geräten. JFrog Curation hebt das 'Shift Left'-Konzept auf die nächste Stufe, indem es die Verwendung riskanter Open-Source-Softwarepakete automatisch blockiert, bevor sie in ein Unternehmen gelangen, und so die gesamte Angriffsfläche eines Unternehmens drastisch reduziert, ohne die Geschwindigkeit oder die Erfahrung der Entwickler zu beeinträchtigen."
Die Verwendung von Open-Source-Software für die Entwicklung kommerzieller Anwendungen ist mittlerweile Mainstream. 87 Prozent der Befragten einer IDC-Umfrage gaben an, dass Open-Source-Software ihre erste Wahl gegenüber anderen kommerziellen Optionen wäre.
Im Jahr 2022 waren jedoch mehr als 10 Millionen Menschen von Angriffen auf die Software-Lieferkette betroffen, die rund 1.700 Unternehmen weltweit betrafen - fast alle davon enthielten ein Element von fehlerhaftem oder bösartigem Open-Source-Code.
JFrog Curation validiert auch eingehende Softwarepakete anhand von JFrogs Security Research Bibliothek mit aufgezeichneten Critical Vulnerabilities Exposures (CVE) und öffentlich zugänglichen Informationen, um ein vertrauenswürdiges Repository von vorab genehmigten Softwarekomponenten von Drittanbietern für die Verwendung in der Entwicklung zu schaffen.
Durch die effektive Verknüpfung von öffentlichen Paket-Repositories, Entwicklern, Produktion und Sicherheitsverantwortlichen hilft JFrog Curation, die Effizienz zu verbessern und zeitaufwändige und kostspielige Nachbesserungen zu vermeiden.
JFrog Curation bietet Entwicklern, Sicherheitsverantwortlichen und DevSecOps-Ingenieuren:
- Die Prüfung und Blockierung von Open-Source-Softwarekomponenten, ohne die Erfahrung der Entwickler oder die Geschwindigkeit zu beeinträchtigen.
- Eine zentrale Sichtbarkeit und Governance jedes Open-Source-Pakets, das von einem Entwickler oder Build-Tool angefordert wird, mit genauen, auf Metadaten basierenden Einblicken in alle infizierten Pakete und mit umsetzbaren Ratschlägen zur Behebung.
- Die Möglichkeit einen umfassenden und transparenten Prüfpfad zu erstellen, um bei der Einhaltung aktueller und neuer gesetzlicher Vorschriften zu unterstützen.
- Die Integration in die JFrog Software Supply Chain Platform, die konsistente, automatisierte Prozesse über Entwicklungsumgebungen hinweg bietet und die unkontrollierte Ausbreitung verschiedener Tool-Suiten vermeidet.
„Sicherheitsvorfälle wie log4Shell, Spring4Shell usw. haben uns gelehrt, dass das, was heute sicher ist, morgen möglicherweise nicht mehr sicher ist, wenn man öffentliche Open-Source-Bibliotheken verwendet", sagt Jim Mercer, IDC Research Vice President of DevOps and DevSecOps.
„Ein Tool, das die Entwicklererfahrung vereinfacht und gleichzeitig sicherstellt, dass die Pakete mit etablierten, regelmäßig aktualisierten Sicherheitsrichtlinien übereinstimmen und gegen relevante Schwachstellendatenbanken validiert werden, ist für die Sicherung moderner DevOps-Workflows unerlässlich."