הפתרון החדש של גיי'פרוג (JFrog Curation) מציע גישה חדשנית לבעיה קריטית בכל שלבי הפיתוח; כיום, מפתחים בשלב פיתוח גרסאות של כל אפליקציה משתמשים בחבילות תוכנה קוד פתוח, שמורדות ממגוון רחב של מקורות חיצוניים. חלק מחבילות התוכנה הללו עלולות להיות נגועות ברכיבים זדוניים, בחולשות אבטחה ידועות (cve) או לא מאושרות לשימוש בארגון מסיבות כלשהן. חברות כיום נדרשות לוודא שהאפליקציה הסופית לא תכיל את החבילות הלא מאושרות ולכן מתבקשות לשלב כחלק מתהליך הפיתוח של כל גרסאות אפליקציה בשלבים השונים של הפיתוח שלה תוכנות ייעודיות שסורקות את הגרסא המפותחת ומגלה את אותן חבילות התוכנה הלא רצויות ומאפשרת הוצאה שלהן לפני תום הפיתוח של הגרסא. הסייקל הזה של מציאת חבילה לא רצויה בכל גרסא שמפותחת באפליקציה והחלפתה בחבילה מאושרת, דורש השקעת זמן ומשאבים רבה מהמפתחים ולרוב מביא למתחים בין מנהלי אבטחת התוכנה למפתחים.
על רקע מתקפות הולכות וגוברות על שרשרת אספקת התוכנה בארגונים שבחלקן מתבססות על החדרת חבילות זדוניות לאפליקציות המפותחות או שימוש לא זהיר בחבילות קוד פתוח עם חולשות, החברות נדרשות יותר מתמיד לוודא אכיפה של הוצאת החבילות הלא מאושרות בכל גרסא של כל פיתוח של כל אפליקציה שנעשית בחברה. דרישות ותקנות אבטחה חדשות בתחום משפיעות על ארגונים וארגונים ממשלתיים כאחד בארה"ב ובאירופה, כולל הצו הנשיאותי ממאי 2021, הצעת החוק האחרונה של H.R. 7900 ותזכיר הבית הלבן לניהול ותקציב (OMB) הנוגע לשיפור אבטחת שרשרת אספקת התוכנה.
1. מקום מרכזי לראות את כלל החבילות שנכנסו לחברה או לחסום אותן לפני שימוש כלשהו בחברה על ידי מפתח כלשהו או פיתוח אפליקציה כלשהי.
2. חסימת הורדת חבילה על פי מדיניות לארגון ללא צורך בהורדת החבילה לצורך הבדיקה
3. חווית מפתח מצוינת מתאפשרת בזכות:
1. יכולת אישור חבילה חדשה בזמן הורדת החבילה
2. קבלת הנחיות מפורטות למפתח על החסימה אם התרחשה, הסבר מדוע ופירוט איך לבצע את השינוי הנדרש (actionable)
4. ירידה ניכרת בעלות טיפול בחבילה אסורה לשימוש בעקבות החסימה המוקדמת (shift left)
5. הטמעת המוצר כחלק מ JFrog Artifactory בזמן קצר ביותר
JFrog Curation יושב ב JFrog Artifactory המשמש כשער של החברה או היחידה העסקית דרכו מורדות חבילות תוכנה לארגון שם JFrog Curation מבצע את הבדיקה והחסימה אם נדרשת בזמן הורדת החבילה כמאין ״מכונת שיקוף אוטומטית״ ושקטה בשער הכניסה של החבילה לארגון. הקיוריישן של ג'ייפרוג למעשה מוודא כי החבילה לא תהיה בשימוש בחברה לעולם ומאפשרת למפתחים להימנע מתחילת השימוש בחבילה והוצאתה בשלב היקר המאוחר יותר. בכדי לייצר חוויה טובה למפתח המערכת גם תיידע את המפתח במידה וחבילה שביקש נחסמה בחלופות שמאושרות בחברה.
כל התהליך של הבדיקה החסימה או אישור וההמלצה לחלופה קורה בזמן אמת (זמן בקשת החבילה להורדה) ובמהירות כזו שהמפתח לא יבחין שהבדיקה בכלל נעשתה במידה ואושרה
היות ו JFrog curation נמצא ב JFrog Artifactory שמשמש כשער של החברה להורדת חבילות תוכנה הטמעת המערכת קלה ומהירה ואיננה כרוכה בשילובה בכל המערכות לפיתוח אפליקציות בחברה בנפרד.
השיטה בה JFrog curation מאפשרת שליטה מרכזית על הכנסת חבילות תוכנה קוד פתוח הופכת את ההתמודדות מבעיית איתור (detect) מבוזר לפתרון מניעה (prevent) גמיש מרכזי וכזה שמכסה פיתוחים קיימים ועתידיים ב מאמץ נמוך משמעותית.
JFrog curation מבוסס על הפתרון המוביל בעולם להורדה וניהול של חבילות תוכנה קוד פתוח מהעולם של חברת jfrog בשם artifactory. לקוחות החברה שמנהלים את הורדת חבילות הקוד הפתוח שלהן בעזרת artifactory כבר יוכלו להוסיף את ההגנה של curation על שרתים קיימים ולפשט עוד את שלב ההטמעה.
Oops! Something went wrong while submitting the form