El especialista en seguridad de software JFrog y el servicio comunitario de desarrollo de código abierto GitHub están presentando integraciones que incorporan las capacidades de la Plataforma de cadena de suministro de software de JFrog a la plataforma de desarrollo de código de GitHub. Los socios afirman que la unión ofrecerá una vista unificada del estado del proyecto y la postura de seguridad, lo que permitirá a los desarrolladores abordar las posibles vulnerabilidades en una etapa más temprana del ciclo de desarrollo de software, mejorando su eficiencia y reduciendo tanto los costos como los riesgos. JFrog dijo que la integración también amplió su visión para integrar la seguridad en cada etapa del desarrollo de software, desde la planificación hasta la producción. «Los desarrolladores a menudo no se dan cuenta de que hay un problema hasta que algo se rompe; solo entonces pueden comenzar a armar el rompecabezas para descubrir qué salió mal», dijo Yoav Landman, director de tecnología (CTO) y cofundador de JFrog. «Nuestra asociación con GitHub permite a los equipos navegar sin problemas entre el desarrollo de código y el almacenamiento binario, lo que permite un flujo de trabajo más intuitivo. “Se espera que esta integración mejore la experiencia y la trazabilidad de los desarrolladores, garantizando que puedan conectar fácilmente su código fuente con los binarios correspondientes mientras mantienen una visión consolidada de la seguridad para que puedan centrarse en ofrecer software de alta calidad sin la preocupación de vulnerabilidades invisibles”, dijo Landman. El director de tecnología de GitHub, Jason Warner, agregó: “No podríamos estar más emocionados por nuestra colaboración con JFrog para crear una experiencia de desarrollador segura y sin problemas al proporcionar toda la información pertinente relacionada con el estado y la seguridad de sus compilaciones en un solo lugar. “Se espera que la combinación de la fuerza de JFrog y GitHub mejore significativamente la seguridad de toda la cadena de suministro de software desde el código fuente hasta los binarios”. Se espera que la combinación de la fuerza de JFrog y Github mejore significativamente la seguridad de toda la cadena de suministro de software desde el código fuente hasta los binarios Jason Warner, GitHub Un informe reciente de JFrog descubrió que solo el 56% de las organizaciones usaban tanto el código fuente como el escaneo binario para proteger su cadena de suministro de software, lo que dejaba a miles de empresas expuestas a ataques en el nivel más fundamental, una propuesta muy riesgosa ya que los actores de amenazas continúan demostrando ser muy hábiles para descubrir errores y fallas, e información confidencial almacenada en binarios. El reciente descubrimiento por parte de los investigadores de JFrog de un token dejado accidentalmente en un contenedor Docket que otorgaba acceso completo al repositorio de paquetes de Python demuestra acertadamente este punto: si se hubiera explotado, decenas de millones de sistemas en todo el mundo, incluidos muchos que ejecutan infraestructura central de Internet y la nube, se habrían visto afectados. Una única plataforma para asegurar los flujos de trabajo En esencia, los socios esperan que la integración ofrezca a los desarrolladores una forma más fácil y segura de rastrear la procedencia del código fuente abierto desde la fuente hasta los binarios resultantes en ambas plataformas. La unión logrará esto a través de tres metodologías clave, explicaron. La primera de ellas, denominada Navegación de código bidireccional y visibilidad de trabajo, ayudará a los desarrolladores a navegar desde los flujos de trabajo de GitHub Actions a JFrog Artifactory, y viceversa, utilizando una lista de paquetes creados bajo el resultado de la compilación hasta donde se deposita finalmente. Esto se extenderá a los paquetes de lista de materiales de software (SBOM), que pueden ayudar a los equipos a comprender mejor la procedencia del código, las dependencias, etc. La segunda metodología, Inicio de sesión único (SSO) unificado y seguro, ayudará a abordar los problemas que surgen al cambiar entre entornos de desarrollo. Tradicionalmente, este proceso dependía de tokens que accidentalmente pueden traer consigo un tremendo riesgo. Al utilizar la compatibilidad con SSO de OpenID Connect, GitHub Actions y la plataforma JFrog establecerán una relación de confianza y automatizarán la gestión de tokens para verificar la identificación de los desarrolladores, lo que les permitirá pasar de un entorno a otro de forma rápida y sencilla. Por último, los paneles de estado de seguridad consolidados proporcionarán a los desarrolladores paneles unificados que les permitirán ver los resultados de los análisis de seguridad de las herramientas GitHub y JFrog respectivas, junto con los permisos y la gestión de identidades, para ayudarlos a identificar problemas más rápido. GitHub Copilot Junto con el anuncio principal, JFrog también ha revelado su participación en el programa Copilot Extensions existente de GitHub, que está diseñado para desbloquear la productividad de los desarrolladores a través de una función de chat que ayuda a responder preguntas comunes relevantes para sus entornos JFrog y GitHub, eliminando la necesidad de examinar montones de documentos o perder tiempo buscando en foros.