JFrog Curation bietet eine Möglichkeit, bösartige oder riskante Open-Source-Pakete zu blockieren, bevor sie in die Software-Entwicklungspipeline gelangen.
Die Verwendung von öffentlich zugänglichen OSS-Bibliotheken hilft Anwendungsteams, Anwendungen schneller zu erstellen, birgt aber auch das Risiko, dass diese Organisationen Sicherheitslücken oder bösartigen Code einsetzen, der möglicherweise als Teil von OSS- oder kommerzieller Standardsoftware (COTS) von Drittanbietern enthalten ist. Moderne Anwendungen sind nicht immer durch Unternehmens-Firewalls und Rechenzentren geschützt, sondern befinden sich oft direkt an der Front (zum Beispiel Webanwendungen in der öffentlichen Cloud oder mobile Anwendungen) und bieten eine leicht zugängliche Angriffsfläche für Bedrohungsakteure.
Laut IDC's DevSecOps Adoption, Techniques, and Tools Survey, 2023 (IDC #US50137623, Mai 2023) waren die beiden größten Lücken in der Anwendungssicherheit in den Unternehmen die zunehmende Nutzung von Open-Source-Software in den Entwicklungsteams (30,9 Prozent) und eine anfällige Software-Lieferkette (28,9 Prozent).
JFrog Curation bietet eine Möglichkeit, bösartige oder riskante Open-Source-Pakete zu blockieren, bevor sie in die Software-Entwicklungspipeline gelangen. Es wurde entwickelt, um Entwicklern, Sicherheitsverantwortlichen und DevSecOps-Ingenieuren folgendes zu ermöglichen:
- Open-Source-Softwarekomponenten zu prüfen und zu blockieren, ohne die Entwicklererfahrung oder Geschwindigkeit zu beeinträchtigen.
- Zentrale Sichtbarkeit und Governance jedes Open-Source-Pakets, das von einem Entwickler oder Build-Tool angefordert wird, mit metadatenbasierten Einblicken in alle infizierten Pakete und mit umsetzbaren Ratschlägen zur Behebung.
- Erstellen eines transparenten Prüfplans, um Unternehmen bei der Einhaltung aktueller und neuer gesetzlicher Vorschriften zu unterstützen.
- Optimierung der Arbeit von Entwicklern durch reibungslosen, validierten Abruf von Softwarekomponenten.
- Die Integration in die JFrog Software Supply Chain Plattform, die konsistente, automatisierte Prozesse über Entwicklungsumgebungen hinweg ermöglicht, vermeidet die unkontrollierte Ausbreitung verschiedener Tool-Suiten.