JFrog وGitHub يكشفان عن تكاملات أمنية مفتوحة المصدر
متخصص في أمن البرمجيات جيفروج وخدمة مجتمع تطوير المصادر المفتوحة جيثب يكشفون عن التكاملات التي تتيح استخدام قدرات منصة سلسلة توريد البرامج الخاصة بـ JFrog ضمن منصة تطوير التعليمات البرمجية الخاصة بـ GitHub.
يزعم الشركاء أن الشراكة ستوفر رؤية موحدة لحالة المشروع وموقف الأمان، مما يمكّن المطورين من معالجة نقاط الضعف المحتملة في وقت مبكر من دورة تطوير البرامج، وتحسين كفاءتهم، وتقليل التكلفة والمخاطر.
قالت شركة JFrog إن التكامل وسع أيضًا رؤيتها لدمج الأمان في كل مرحلة من مراحل تطوير البرمجيات من التخطيط إلى الإنتاج.
قال يوآف لاندمان، كبير مسؤولي التكنولوجيا والمؤسس المشارك لشركة JFrog: “غالبًا ما لا يدرك المطورون وجود مشكلة حتى يحدث خلل ما؛ وعندها فقط يمكنهم البدء في تجميع أجزاء اللغز لمعرفة ما حدث خطأ”.
“تتيح شراكتنا مع GitHub للفرق التنقل بسلاسة بين تطوير التعليمات البرمجية والتخزين الثنائي، مما يتيح سير عمل أكثر سهولة في الاستخدام.
وقال لاندمان: “من المتوقع أن يعزز هذا التكامل تجربة المطور وإمكانية التتبع، مما يضمن قدرتهم على ربط الكود المصدر الخاص بهم بسهولة بالثنائيات المقابلة مع الحفاظ على رؤية موحدة للأمان حتى يتمكنوا من التركيز على تقديم برامج عالية الجودة دون القلق بشأن الثغرات الأمنية غير المرئية”.
وأضاف جيسون وارنر، المدير التقني لشركة GitHub: “لا يمكننا أن نكون أكثر حماسًا بشأن تعاوننا مع JFrog لإنشاء تجربة مطور سلسة وآمنة من خلال توفير جميع المعلومات ذات الصلة بحالة وأمان عمليات البناء الخاصة بهم في مكان واحد.
“من المتوقع أن يؤدي الجمع بين قوة JFrog وGitHub إلى تعزيز أمان سلسلة توريد البرامج بأكملها من الكود المصدر إلى الملفات الثنائية بشكل كبير.”
جيسون وارنر، جيثب
حديثا تقرير JFrog وجدت دراسة حديثة أن 56% فقط من المنظمات كانت تستخدم كل من الكود المصدر والمسح الثنائي لتأمين سلسلة توريد البرامج الخاصة بها، مما يترك آلاف الشركات مفتوحة للهجوم على المستوى الأكثر جوهرية – وهو اقتراح محفوف بالمخاطر حيث يواصل الجناة إثبات مهارتهم العالية في الكشف عن الأخطاء والعيوب والمعلومات الحساسة المخزنة في الملفات الثنائية.
إن الاكتشاف الأخير الذي توصل إليه باحثو JFrog لرمز تم تركه عن طريق الخطأ في حاوية Docket والتي منحت الوصول الكامل إلى مستودع حزمة Python يوضح هذه النقطة تمامًا – لو تم استغلاله، فإن عشرات الملايين من الأنظمة في جميع أنحاء العالم، بما في ذلك العديد من أنظمة تشغيل الإنترنت الأساسية والبنية التحتية السحابية، كانت ستتأثر.
منصة واحدة لتأمين سير العمل
في الأساس، يتوقع الشركاء أن يوفر التكامل للمطورين طريقة أسهل وأكثر أمانًا لتتبع مصدر الكود مفتوح المصدر من المصدر إلى الملفات الثنائية الناتجة عبر المنصتين. وأوضحوا أن هذا التعاون سيحقق هذا من خلال ثلاث منهجيات رئيسية.
الأول من هذه، والذي يُطلق عليه اسم التنقل الثنائي الاتجاه للكود ورؤية الوظائف، سيساعد المطورين على التنقل من سير عمل GitHub Actions إلى JFrog Artifactory، والعودة مرة أخرى، باستخدام قائمة من الحزم التي تم إنشاؤها بموجب مخرجات البناء إلى حيث يتم إيداعها في النهاية. سيمتد هذا إلى فاتورة المواد البرمجية (SBOM) الحزم، والتي قد تساعد الفرق في الحصول على فهم أفضل لمصدر الكود والتبعيات وما إلى ذلك.
المنهجية الثانية، موحدة وآمنة تسجيل الدخول مرة واحدة (SSO)، سيساعد في معالجة المشكلات التي تنشأ عند التبديل بين بيئات التطوير. تقليديًا، تعتمد هذه العملية على الرموز التي يمكن أن تجلب معها عن طريق الخطأ مخاطر هائلة. باستخدام اتصال OpenID سيعمل دعم SSO وGitHub Actions ومنصة JFrog على إنشاء علاقة موثوقة وأتمتة إدارة الرموز للتحقق من هوية المطورين، مما يسمح لهم بالانتقال من بيئة إلى أخرى بسرعة وسهولة.
أخيرًا، ستوفر لوحات معلومات حالة الأمان الموحدة للمطورين لوحات معلومات موحدة، مما يسمح لهم برؤية نتائج فحص الأمان من أدوات GitHub وJFrog المعنية، إلى جانب إدارة الأذونات والهويات، لمساعدتهم على تحديد المشكلات بشكل أسرع.
مساعد جيثب
إلى جانب الإعلان الرئيسي، كشفت JFrog أيضًا عن مشاركتها في GitHub الحالي برنامج تمديدات مساعد الطيار، وهو مصمم لإطلاق العنان لإنتاجية المطورين عبر ميزة الدردشة التي تساعد في الإجابة على الأسئلة الشائعة ذات الصلة ببيئات JFrog وGitHub، مما يزيل الحاجة إلى البحث في كميات كبيرة من المستندات أو قضاء الوقت في البحث في المنتديات.