swampUP 2023 における発表の紹介

毎年 JFrog は、開発者と開発チームに実用的な方法で真のソリューションを提供し、未来に備えるため、DevOps コミュニティと世界有数の企業を年次カンファレンス swampUP に招待しています。

swampUP が始まってから、実際は Artifactory のリリース以降、JFrog は Liquid Software のビジョンを念頭に置いて、開発者や企業の本当の悩みを解決するソリューションを市場に投入することに臨んできました。

今年は、JFrog チームの革新的なアイデアとともに、コミュニティからの貢献に基づいた、最近の中で最も重要な発表であるかもしれないことに興奮しています。

DevOps と DevSecOps 双方の視点で「未来に備える」ための swampUP における以下の発表に特に興奮しています。これらはすべて JFrog プラットフォームで利用できるようになりました。

リリースライフサイクル管理

JFrog は、JFrog プラットフォーム内でリリースファーストのアプローチを採用しています。これは、パイプラインの段階の早い段階で、リリースバンドルがパイプラインを通じて異なるステップ間でプロモートされるときに、随一の成果物として扱われることを意味します。署名されたエビデンスが各ステップ (セキュリティスキャンやデータテストなど) で追加／バイナリと一緒に保存され、リリースの完全性が初めから検証されます。

開発者の観点から見ると、これにより適切なガバナンスの効いた信頼できるプロセスを備えた、より安定したリリースが提供されます。ビジネス視点では、これによりすべてのリリースが明確に可視化され、ワー​​クフロー全体でのコンプライアンス、監査、トレーサビリティが容易になります。SDLC 全体でリリース (コーディングやパッ​​ケージのキュレーションなど) をランタイムに至るまで特定して連携できるようになったのは非常に貴重な進歩です。発表されたリリースライフサイクル管理の詳細については、こちらを参照してください。

MLOps/AI

生成 AI および ML 機能の急速な台頭が、IT 業界全体の PR に旋風を巻き起こしています。実際、一部のアナリスト会社は、わずか数年以内にすべてのアプリケーションの 80 ～ 90% にこれらのコンポーネントが含まれるようになると予測しています。これは、現在運用されているほぼすべてのアプリケーションが次世代に移行することを意味する可能性があります。データサイエンティストや ML エンジニアがアプリケーションを大規模に展開するためのツールやインフラストラクチャが整っていない場合、これは想像するだけでも困難な作業です。

JFrog ユーザーは、モデルやアプリケーションの構築、管理、デプロイ方法について ML チームも支援するという任務を負うことが増えていると思われます。私たちは、お客様がメタデータとともに他のバイナリを管理するのと同じ方法で、JFrog が ML モデルを管理し、学習のサポート、ランタイムの依存関係を管理する最初のプラットフォームと期待されているることに興奮しています。私たちはまず、人気のある Hugging Face のモデル公開リポジトリを Artifactory のリポジトリタイプとして対応し、ユーザーが Artifactory で独自のモデルをホストできるようにします。さらに、ユーザーが JFrog Xray を使用して悪意のあるモデルの検出を強化し、組織内での使用を防止したり、コンプライアンス ポリシーと矛盾するライセンスを持つモデルをブロックしたりすることができます。

成熟した DevOps および DevSecOps プラクティスを ML モデル管理に導入することで、ソフトウェアサプライチェーンと同様に、信頼できる ML サプライ チェーンの標準を確立できることを楽しみにしています。JFrog MLOps 機能の詳細もご参照ください。

JFrog Trusted ML モデル管理の発表

JFrog キュレーション ＆ カタログ

JFrog キュレーションは数週間前に一般利用可としてリリースされ、悪意のあるソフトウェア パッケージがソフトウェア サプライ チェーンに侵入するのを防ぐ問題解決機能として、すでに市場の注目を集めています。これにより、チームは組織の境界で不要なパッケージを防ぎ、「混入前に対応」できるようになります。

JFrog カタログは、開発チームと DevSec チームがパッケージを確実に選択できるまったく新しい方法をもたらします。JFrog は何千ものソフトウェア パッケージに関する豊富な構造化データを持っており、このデータを JFrog の顧客がパッケージの「検索エンジン」として利用できるようにします。JFrog カタログは、考えられるほぼすべての OSS パッケージに関する迅速で豊富なデータを提供し、かつ最新の情報が継続的に追加されます。カタログは、皆さんの担当チームと連携して、キュレーションのポリシーを推進するナレッジベースとして機能し、ビジネスポリシーに基づいて最も正確で安全な選択を可能とします。JFrog キュレーション＆カタログについてはこちらもご覧ください。

JFrog キュレーションのメリット

JFrog カタログ

SAST

静的アプリケーションセキュリティテストは非常に長い間市場に存在していましたが、これまでにいくつかの明らかな問題がありました。たとえば、現在存在する多くのツールは過剰な量の誤検知を表示し、多くの開発者をコードの脆弱性の典型的な「シラミ潰し」に導きます。さらに、スキャン時間が長すぎる可能性があり、開発プロセスが遅くなったり、結果を得るためにコードのアップロードが必要になったりすることがあります。もう 1 つの一般的な制限は、単一のソースファイルを超えてコードフローを分析できないことです。さらに、今日までの SAST ツールは、企業をエンドツーエンドでカバーするパイプライン プロセスに適切に結び付けられていませんでした。

私たちは、JFrog Advanced Security の顧客向けに JFrog SAST ツールをリリースできることをうれしく思います。これにより、バイナリに包括的なセキュリティを確保できるだけでなく、生成 AI によって書かれたコードなど、開発者が作成しているオーダーメイドのコードも保護できるようになります。この製品の重要な特徴として、SAST ソリューションが軽量であり、開発者の速度を低下させないようにするために多額の投資を行いました。プロジェクト内の複数のファイルにまたがって作業し、ローカルで実行することで、コードのアップロードや長いスキャンサイクルによる手間がかかりません。

キュレーションによる悪意のあるパッケージや望ましくないパッケージの組織への侵入の阻止、SAST によるファーストパーティコードと SCA ツールによる保護、JFrog Advanced Security によるパイプライン内の成果物スキャンと保護により、お客様はアプリケーションのセキュリティを超えて、完全なシフトレフトのポートフォリオをソフトウェア サプライ チェーン全体で備え、あらゆる作業を真に保護できる有利な立場にたどり着きました。ついに JFrog SAST が利用可能となりました。

JFrog SAST – 利用可能です

当社の 単一プラットフォーム、3 つのコア、そして随一の資産を軸とする当社のアプローチは、今後も当社のロードマップと注力点を推進していきます。R&D チームと製品チームによってもたらされた新機能により、ユーザーがエンドツーエンドで完全に信頼されたソフトウェアのリリースを可能とすることに興奮しています。

これらの製品はすべて今日から利用可能であり、各発表の詳細については、 JFrog ブログまたはjfrog.comでご覧いただけます。