JFrog, das „Liquid Software“-Unternehmen und Entwickler der JFrog DevOps Plattform, veröffentlicht JFrog Curation, eine automatisierte DevSecOps-Lösung, die entwickelt wurde, um bösartige Open-Source- oder Drittanbieter-Softwarepakete und ihre jeweiligen Abhängigkeiten zu überprüfen und zu blockieren, bevor sie in die Softwareentwicklungsumgebung eines Unternehmens gelangen.
JFrog Curation ist nativ in das JFrog Artifactory Binary Repository integriert und ist einzigartig in seiner Verwendung von binären Metadaten zur Identifizierung von bösartigen Paketen mit höherem Schweregrad von CVEs, Betriebs- oder Lizenzkonformitätsproblemen – wodurch die Notwendigkeit entfällt, jedes Paket vor der Verwendung zum Scannen herunterzuladen, was die Geschwindigkeit und den Komfort für Entwickler bewahrt.
„Softwareentwickler nutzen Millionen von Open-Source-Komponenten, um die Projektabwicklung zu beschleunigen und sich einen Wettbewerbsvorteil zu verschaffen, aber diese Praxis könnte missbraucht werden, um bösartige Pakete und Schwachstellen in den Code einzuschleusen – und damit das Risiko von Angriffen auf die Software-Lieferkette zu erhöhen”, sagt Asaf Karas, CTO of Security bei JFrog. „Anwendungssicherheit muss ernst genommen und ganzheitlich betrachtet werden, von der Erstellung bis zur Laufzeit auf Edge-Geräten. JFrog Curation hebt das ‘Shift Left’-Konzept auf die nächste Stufe, indem es die Verwendung riskanter Open-Source-Softwarepakete automatisch blockiert, bevor sie in ein Unternehmen gelangen, und so die gesamte Angriffsfläche eines Unternehmens drastisch reduziert, ohne die Geschwindigkeit oder die Erfahrung der Entwickler zu beeinträchtigen.”
Die Verwendung von Open-Source-Software für die Entwicklung kommerzieller Anwendungen ist mittlerweile Mainstream. 87 Prozent der Befragten einer IDC-Umfrage gaben an, dass Open-Source-Software ihre erste Wahl gegenüber anderen kommerziellen Optionen wäre. Im Jahr 2022 waren jedoch mehr als 10 Millionen Menschen von Angriffen auf die Software-Lieferkette betroffen, die rund 1.700 Unternehmen weltweit betrafen – fast alle davon enthielten ein Element von fehlerhaftem oder bösartigem Open-Source-Code.
„Sicherheitsvorfälle wie Log4Shell, Spring4Shell usw. haben uns gelehrt, dass das, was heute sicher ist, morgen möglicherweise nicht mehr sicher ist, wenn man öffentliche Open-Source-Bibliotheken verwendet”, sagt Jim Mercer, IDC Research Vice President of DevOps and DevSecOps. „Ein Tool, das die Entwicklererfahrung vereinfacht und gleichzeitig sicherstellt, dass die Pakete mit etablierten, regelmäßig aktualisierten Sicherheitsrichtlinien übereinstimmen und gegen relevante Schwachstellendatenbanken validiert werden, ist für die Sicherung moderner DevOps-Workflows unerlässlich.”
JFrog Curation validiert auch eingehende Softwarepakete anhand von JFrogs Security Research Bibliothek mit aufgezeichneten Critical Vulnerabilities Exposures (CVE) und öffentlich zugänglichen Informationen, um ein vertrauenswürdiges Repository von vorab genehmigten Softwarekomponenten von Drittanbietern für die Verwendung in der Entwicklung zu schaffen.
Die Lösung wurde entwickelt, um Entwicklern, Sicherheitsverantwortlichen und DevSecOps-Ingenieuren folgende Vorteile zu bieten:
- Open-Source-Softwarekomponenten zu prüfen und zu blockieren, ohne die Erfahrung der Entwickler oder die Geschwindigkeit zu beeinträchtigen.
- Zentrale Sichtbarkeit und Governance jedes Open-Source-Pakets, das von einem Entwickler oder Build-Tool angefordert wird, mit genauen, auf Metadaten basierenden Einblicken in alle infizierten Pakete und mit umsetzbaren Ratschlägen zur Behebung.
- Erstellen Sie einen umfassenden und transparenten Prüfpfad, um Unternehmen bei der Einhaltung aktueller und neuer gesetzlicher Vorschriften zu unterstützen.
- Optimieren Sie die Erfahrung von Entwicklern durch reibungslosen, validierten Abruf von Softwarekomponenten.
- Die Integration in die JFrog Software Supply Chain Platform, die konsistente, automatisierte Prozesse über Entwicklungsumgebungen hinweg bietet, vermeidet die unkontrollierte Ausbreitung verschiedener Tool-Suiten.
www.jfrog.com