GitHub et JFrog s’associent pour unifier le code et les fichiers binaires pour DevSecOps
Ce partenariat entre GitHub et JFrog permet aux développeurs de gérer plus efficacement le code et les fichiers binaires sur deux des plateformes de développement les plus utilisées au monde.
Note : Cet article a été co-rédigé par JFrog et GitHub et a également été publié sur le blog GitHub
Alors que le volume de code continue d’augmenter de manière exponentielle, les développeurs de logiciels, les ingénieurs DevOps, les équipes opérationnelles, les spécialistes de la sécurité et toutes les personnes qui s’occupent du code passent de plus en plus leur temps à sécuriser, livrer et faire évoluer les logiciels. Cela limite la créativité et ralentit le développement logiciel pour chaque organisation.
Aujourd’hui, nous annonçons un nouveau partenariat entre GitHub et JFrog qui promet de redonner du temps aux développeurs, en leur permettant de gérer plus efficacement le code et les fichiers binaires sur deux des plateformes de développement les plus utilisées au monde.
50 % des clients de JFrog utilisent déjà GitHub comme dépôt de code principal pour tirer le meilleur parti du code source et de la gestion des fichiers binaires. Désormais, les développeurs pourront créer, sécuriser et innover à partir d’un seul tableau de bord, sans jamais avoir besoin de changer d’environnement ni de ralentir.
Ensemble, nous avons construit une intégration qui comprend une navigation et une traçabilité intuitives entre le code source et les fichiers binaires, le CI/CD avec GitHub Actions et JFrog Artifactory, et une vue unifiée des résultats de sécurité tout au long de la chaîne d’approvisionnement logicielle. En offrant un contrôle et une visibilité complets sur l’ensemble de la chaîne d’approvisionnement logicielle, nous accélérons notre vision commune consistant à faciliter la vie des développeurs.
Fonctionnement
Gérez l’accès et les rôles avec l’authentification unique (SSO) sur les deux plateformes. Nous avons intégré l’authentification unique (SSO), la cartographie des rôles de projet et la gestion des accès, ainsi que l’intégration CI sur les deux plateformes. Grâce à la gestion centralisée des identités et des accès des utilisateurs (IAM), les utilisateurs n’auront pas à se connecter plusieurs fois.
Le monde de la gestion de la chaîne d’approvisionnement logicielle présente de nombreux défis et points de friction pour les développeurs. L’intégration entre la plateforme de chaîne d’approvisionnement logicielle de JFrog et la plateforme de développement de GitHub a été conçue pour fournir une expérience de développement “sécurisée par défaut” », déclare Gerard McMahon, responsable des outils et plateformes ALM pour Fidelity Investments. « Cette collaboration fournit aux développeurs une source de vérité unique pour le code et les fichiers binaires. Les équipes de sécurité bénéficient quant à elles d’une traçabilité complète et d’une vue unifiée pour superviser et corriger les menaces, ce qui réduit les risques. »
Suivez le cycle de vie des artefacts grâce aux intégrations entre GitHub Actions et JFrog Artifactory. Nous avons également intégré GitHub Actions à JFrog Artifactory pour fournir un meilleur suivi des artefacts stockés. Les artefacts de fichiers binaires générés par Actions incluent des métadonnées et des processus dans le cadre des données binaires de JFrog Artifactory, ce qui leur permet de jouer un rôle crucial dans la génération d’inventaires logiciels (SBOM).
Nous sommes ravis de voir certaines améliorations prendre vie. Nous pensons que cette collaboration entre GitHub et JFrog a le potentiel de révolutionner le paysage du DevOps », explique Amol Shukla, ingénieur distingué chez Morgan Stanley. « Par exemple, l’établissement de liens bidirectionnels entre les workflows GitHub Actions et les artefacts de publication créés et stockés dans Artifactory pourrait améliorer l’expérience de développement et la traçabilité tout au long de la chaîne d’approvisionnement logicielle. »
Simplifiez la gouvernance avec une liaison bidirectionnelle entre le code source et les fichiers binaires. Pour gagner davantage en visibilité, nous relions les packages logiciels et le code de manière bidirectionnelle pour permettre un suivi et un triage précis, en liant nativement le code aux packages conçus. Cela permet d’obtenir des résultats plus approfondis en matière de conformité et de sécurité pour attester de la provenance et de l’origine des éléments.
Résumé de tâche JFrog et informations sur le build SBOM pointant vers la tâche GitHub
Et ensuite ?
Une vue unifiée de l’état de sécurité de la chaîne d’approvisionnement logicielle. L’une de nos priorités consiste à intégrer nos offres de sécurité respectives pour fournir une vue holistique de l’état de sécurité de la chaîne d’approvisionnement logicielle sur les deux plateformes dans les tableaux de bord GitHub.
Interrogez Ask GitHub Copilot Chat sur la progression et les artefacts JFrog, et bien plus encore. Nous intégrons également JFrog dans GitHub Copilot Chat afin que vous puissiez poser des questions à Copilot sur les artefacts de JFrog Artifactory, les processus et la configuration de JFrog, et même obtenir des conseils sur les meilleurs packages logiciels et versions à utiliser. Cela permet à GitHub Copilot d’intégrer la chaîne d’approvisionnement logicielle plus étendue afin de fournir une vue plus complète du cycle de vie du développement logiciel.
Au-delà des pratiques DevOps et DevSecOps, l’avenir nécessitera des interactions avancées avec les outils d’IA », relève John Nuttall, directeur des technologies chez AT&T. « Une discussion avec Copilot de GitHub, pour sélectionner le package logiciel sécurisé adapté aux métadonnées étendues stockées dans JFrog Catalog, peut changer la donne. Cette intégration améliorera considérablement l’efficacité des utilisateurs de Copilot tout au long de la chaîne d’approvisionnement logicielle, dans les environnements axés sur les fichiers binaires et le code. Ce partenariat offre le meilleur des deux mondes. »
Les entreprises du monde entier recherchent des solutions qui fonctionnent ensemble pour fournir les meilleures fonctionnalités de sécurité, de gestion et d’exploitation dans leurs chaînes d’approvisionnement logicielles, du code à la production. À l’heure où GitHub et JFrog s’engagent à offrir aux clients la solution la plus puissante disponible, nous sommes impatients de faire évoluer le développement moderne.