GitHub & JFrog: Gemeinsam zu einem einheitlichen Code- und Binary-Management für DevSecOps
Die Partnerschaft zwischen GitHub und JFrog ermöglicht es Entwicklern, Code und Binärdateien auf zwei der weltweit beliebtesten Entwicklungsplattformen effizient zu verwalten.
Hinweis: Dieser Blogbeitrag wurde gemeinsam von JFrog und GitHub erstellt und ist auch im GitHub-Blog zu finden.
Da das Codevolumen weiterhin exponentiell wächst, verbringen Softwareentwickler, DevOps-Ingenieure, Operations-Teams, Sicherheitsspezialisten und alle anderen, die mit Code zu tun haben immer mehr Zeit mit der Sicherung, Bereitstellung und Skalierung von Software. Dies bindet wertvolle Ressourcen und verlangsamt die Softwareentwicklung in Unternehmen.
Wir freuen uns daher, heute eine neue Partnerschaft zwischen GitHub und JFrog verkünden zu dürfen, die Entwicklern wieder mehr Zeit für die Verwaltung Ihres Code und Ihrer Binärdateien auf zwei der weltweit beliebtesten Entwicklungsplattformen gibt.
Fünfzig Prozent der JFrog Kunden nutzen GitHub bereits als ihr primäres Code-Repository, um ihren Quellcode und ihre Binärdateien so effizient wie möglich zu verwalten. Nun bieten wir Entwicklern ein zentralisiertes und sicheres Dashboard, um zeitaufwändige Plattformwechsel zu vermeiden und den Workflow zu optimieren.
Unsere neue gemeinsame Integration bietet intuitive Navigation und Rückverfolgbarkeit zwischen Quellcode und Binärdateien, CI/CD mit GitHub Actions und JFrog Artifactory sowie eine einheitliche Übersicht über die Sicherheitslage in der gesamten Software-Lieferkette. Unser Ziel ist es, Entwicklern die Arbeit zu erleichtern, indem wir ihnen vollständige Kontrolle und Einblick in die gesamte Software-Lieferkette geben.
So funktioniert’s
Zugriffs- und Rollenmanagement mit Single Sign-On (SSO) auf beiden Plattformen: Beide Plattformen bieten nun Single Sign-on (SSO), Projektrollen-Mapping, Zugriffsmanagement und CI-Integration. Durch das zentrale Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist eine einmalige Anmeldung der Benutzer ausreichend.
Das Software-Lieferkettenmanagement birgt viele Herausforderungen und Spannungsfelder für Entwickler. Durch die Integration der Software Supply Chain Plattform von JFrog mit der Entwicklerplattform von GitHub können wir Developern eine von Grund auf sichere Entwicklungsumgebung bieten“, erklärt Gerard McMahon, Head of ALM Tools and Platforms bei Fidelity Investments. „Durch diese Partnerschaft erhalten Entwickler eine Single Source of Truth für Code und Binärdateien. Security-Teams profitieren von der vollständigen Rückverfolgbarkeit und einer einheitlichen Ansicht, um Bedrohungen zu monitoren und abzuwehren und dadurch Risiken zu reduzieren.”
Verfolgung von Artefakt-Lebenszyklen durch Integration von GitHub Actions und JFrog Artifactory: Durch die Integration von GitHub Actions mit JFrog Artifactory können gespeicherte Artefakte künftig besser zurückverfolgt werden. Binäre Artefakte, die von GitHub Actions generiert wurden, werden in den Binärdaten von JFrog Artifactory mit Metadaten und Prozessen gespeichert, was sie optimal für die Generierung einer SBOM (Software Bill of Materials) macht.
Wir sind begeistert von den Verbesserungen und glauben, dass die Zusammenarbeit zwischen GitHub und JFrog einen äußerst positiven Einfluss auf die DevOps-Landschaft haben wird“, sagt Amol Shukla, Distinguished Engineer bei Morgan Stanley. „Die Entwicklererfahrung und Nachvollziehbarkeit in der gesamten Software-Lieferkette kann beispielsweise durch bidirektionale Links zwischen GitHub Actions-Workflows und in Artifactory erstellten und gespeicherten Release-Artefakten verbessert werden“.
Vereinfachte Governance durch bidirektionale Verknüpfung von Quellcode und Binärdateien: Um die Transparenz weiter zu erhöhen, verknüpfen wir Softwarepakete und Code bidirektional. Die native Verknüpfung ermöglicht eine präzise Nachverfolgung und Analyse und damit eine umfassende Compliance und sichere Bestätigung der Datenherkunft.
JFrog-Job-Übersicht und SBOM (Software Bill of Materials) des Builds für den GitHub-Job
Was kommt als nächstes?
Einheitliche Ansicht des Sicherheitsstatus der Software-Lieferkette: Unser Hauptziel ist es, durch die Integration unserer Sicherheitsangebote einen ganzheitlichen Überblick über den Sicherheitsstatus der Software-Lieferkette auf beiden Plattformen in GitHub-Dashboards zu bieten.
Informationen zu JFrog Prozessen, Artefakten und mehr im GitHub Copilot Chat: In Zukunft können Sie auch im GitHub Copilot Chat Fragen zu Artefakten in der JFrog Artifactory, JFrog Prozessen und Konfiguration stellen und erhalten Tipps zu den am besten geeigneten Softwarepaketen und -versionen. GitHub Copilot wird dadurch zu einem Teil der breiteren Software-Lieferkette, so dass Sie einen umfassenderen Überblick über den Lebenszyklus der Softwareentwicklung erhalten.
Neben DevOps- und DevSecOps-Prozessen werden in Zukunft auch umfangreichere Interaktionen mit KI-Tools erforderlich sein“, erklärt John Nuttall, Director of Technology bei AT&T. „Wenn man mit GitHub Copilot chattet, erhält man Informationen über geeignete und sichere Softwarepakete, die auf den umfassenden Metadaten des JFrog Catalog basieren. Diese Integration wird die Effizienz der Copilot-Nutzer in der gesamten Software-Lieferkette erheblich steigern, sowohl in binär-orientierten als auch in Code-Umgebungen. Durch diese Partnerschaft bringen wir das Beste aus beiden Welten zusammen.“
Unternehmen auf der ganzen Welt suchen nach passenden Lösungen, um die besten Sicherheits-, Verwaltungs- und Betriebsfunktionen in ihren Software-Lieferketten vom Code bis zur Produktion zu bieten. Durch die Partnerschaft von GitHub und JFrog wollen wir unseren Kunden solch leistungsstarke Lösungen bieten und die moderne Software-Entwicklung vorantreiben.