JFrog（納斯達(dá)克股票代碼：FROG）與全球領(lǐng)先的代碼開(kāi)發(fā)平臺(tái)GitHub近期在 JFrog 年度用戶大會(huì)上發(fā)布全新集成功能，通過(guò)持續(xù)深化的合作為開(kāi)發(fā)者提供能夠呈現(xiàn)項(xiàng)目狀態(tài)和安全態(tài)勢(shì)的綜合視圖，幫助他們快速解決公司高級(jí)安全產(chǎn)品發(fā)現(xiàn)的潛在漏洞。此外，為幫助開(kāi)發(fā)者深入快速了解第三方軟件包，雙方還宣布推出 Copilot Chat擴(kuò)展插件，以快速選擇已更新、經(jīng)企業(yè)批準(zhǔn)且可安全使用的軟件包。

JFrog 首席技術(shù)官兼聯(lián)合創(chuàng)始人 Yoav Landman 表示：“ 開(kāi)發(fā)者要想提高工作效率，就需要全面了解他們集成到軟件中的代碼和二進(jìn)制文件的質(zhì)量和安全性。我們與 GitHub 的合作使團(tuán)隊(duì)能夠使用 Copilot 快速了解并確保這些信息的可信度。我們的合作還使開(kāi)發(fā)者能夠通過(guò)更直觀的工作流，在代碼和構(gòu)建過(guò)程當(dāng)中生成的二進(jìn)制制品之間進(jìn)行導(dǎo)航，以便其更快地構(gòu)建和發(fā)布受信軟件。我們共繪發(fā)展藍(lán)圖，并期待為我們的客戶提供統(tǒng)一的平臺(tái)體驗(yàn)?！?/p>

根據(jù) JFrog 發(fā)布的《2024年全球軟件供應(yīng)鏈發(fā)展報(bào)告》，只有 56% 的公司會(huì)同時(shí)使用源代碼和二進(jìn)制掃描來(lái)保護(hù)其軟件供應(yīng)鏈，這使得近半數(shù)的公司面臨著二進(jìn)制級(jí)別的安全漏洞風(fēng)險(xiǎn)，而這為企業(yè)帶來(lái)了巨大的安全隱患。 同時(shí)，JFrog 安全研究團(tuán)隊(duì)近期發(fā)現(xiàn)Docker 容器中意外遺留了一個(gè)令牌，該令牌授予了對(duì) Python 包存儲(chǔ)庫(kù)的完全訪問(wèn)權(quán)限。如果此令牌被發(fā)現(xiàn)和利用，將影響全球數(shù)千萬(wàn)臺(tái)計(jì)算機(jī)系統(tǒng)，這些系統(tǒng)支撐著當(dāng)今大多數(shù)互聯(lián)網(wǎng)和云基礎(chǔ)設(shè)施、自動(dòng)化工作任務(wù)、金融服務(wù)和數(shù)據(jù)分析。

通過(guò)整合最佳源代碼和二進(jìn)制平臺(tái)，創(chuàng)建安全的開(kāi)發(fā)者工作流

JFrog 與 GitHub 的集成有望提供一種更簡(jiǎn)單、更安全的方式，從而實(shí)現(xiàn)在兩個(gè)平臺(tái)上追蹤從源代碼到所生成的二進(jìn)制文件的代碼周期，主要功能如下：

• 通過(guò)Copilot Chat 集成可獲得有關(guān)軟件包的深入洞察：全新 GitHub Copilot 擴(kuò)展插件通過(guò)在 JFrog 二進(jìn)制環(huán)境中提供有關(guān)開(kāi)源軟件包的深入洞察以及 GitHub 代碼數(shù)據(jù)，使開(kāi)發(fā)者無(wú)需搜索文檔或在線論壇，從而提高工作效率。其提供的建議符合企業(yè)的管理政策，使開(kāi)發(fā)者能夠基于安全性和市場(chǎng)應(yīng)用情況選擇軟件包，從而根據(jù)業(yè)務(wù)做出明智之選。將 Copilot 的聊天功能與 JFrog 的制品元數(shù)據(jù)相結(jié)合，為開(kāi)發(fā)者打造了一個(gè)強(qiáng)大的 AI 助手。

• 整合型安全統(tǒng)一管理面板：GitHub Advanced Security 和 JFrog Advanced Security（包括發(fā)現(xiàn)上述 Python 漏洞的掃描程序）安全掃描結(jié)果的統(tǒng)一視圖可幫助開(kāi)發(fā)者在開(kāi)發(fā)生命周期的早期階段識(shí)別并消除潛在的軟件漏洞，從而節(jié)省時(shí)間成本并降低風(fēng)險(xiǎn)。

• 雙向端到端發(fā)布追溯：GitHub 上的全新作業(yè)摘要頁(yè)面為開(kāi)發(fā)者提供了每個(gè) GitHub Actions 工作流運(yùn)行和安全狀態(tài)的快速視圖，使開(kāi)發(fā)者可以迅速查看每個(gè)構(gòu)建的輸出軟件包，輕松跳轉(zhuǎn)至JFrog Artifactory 中的位置并返回原頁(yè)面。這種雙向?qū)Ш嚼?JFrog Artifactory 中保存的軟件物料清單（SBOM），增強(qiáng)了軟件追溯能力。

動(dòng)態(tài)項(xiàng)目映射和身份驗(yàn)證：利用當(dāng)前的 OpenID Connect（OIDC）集成，改進(jìn)了 GitHub 存儲(chǔ)庫(kù)和 Artifactory 中 JFrog 項(xiàng)目之間的自動(dòng)授權(quán)和無(wú)縫項(xiàng)目映射，開(kāi)發(fā)者無(wú)需對(duì)每個(gè)存儲(chǔ)庫(kù)重新進(jìn)行身份驗(yàn)證。