What’s New from JFrog: スケールアップしたバイナリ・ライフサイクル管理

エンタープライズDevOpsや大規模な最新アプリケーションの配信には、アプリケーションの構成要素であるバイナリを強固に管理することが必要です。

バイナリのライフサイクル管理を大規模に改善することは企業にとって重要な課題であり、この新機能により、企業のDevOpsチームは急激に増加するバイナリ、分散チーム、複数プロジェクトの配布パイプラインを安全で効率的かつ迅速な方法でシームレスにサポートすることができます。

JFrog Platformの主たる機能の発表

JFrog Platformの新機能は企業が大規模なバイナリ・ライフサイクル管理をサポートし、エンドツーエンドのソフトウェア配布プロセス全体で開発者の生産性、効率性、セキュリティを向上するのに役立ちます。注：世界初のプライベート・ディストリビューション・ネットワークに関する重要な発表については別途取り上げています。

フェデレーテッド・リポジトリ

JFrog DevOps Platformの中核であるJFrog Artifactoryの業界初の新機能であるフェデレーテッド・リポジトリはマルチサイト・トポロジでのバイナリ管理やリモート開発拠点が配布プロセスで共同作業する際、アーティファクトを同期する場合の課題に対応します。

フェデレーテッド・リポジトリはインフラストラクチャ層を抽象化し、フェデレーションの「メンバー」である異なるリモートロケーションまたはJFrog Platformの異なるインスタンス間でデータセンター透過型のリポジトリを作成します。すべての設定、メタデータ、バイナリの効率的な連続レプリケーションを含む、ロケーション間のミラーリングの自動双方向同期と高速化により、1つのサイトの開発者が行った変更が他のすべてのリモートロケーションから迅速にアクセスできるようになります。フェデレーテッド・リポジトリは設定と管理が容易で開発者の生産性、配布速度、クロスサイト・セキュリティを向上させます。

署名付きパイプライン

JFrog Pipelinesの業界初の新機能である署名付きパイプラインにより、開発者はバイナリのライフサイクルを経てビルドやアーティファクトの整合性とセキュリティを確保することができます。

署名付きパイプラインはゼロ・トラストの原則に則り、パイプライン以外のものは信用できないと仮定し、CI/CDパイプラインのすべてのステップと結果を自動的に署名し、不変で改ざん不可能な記録を作成することで、ソフトウェア配布プロセスの信頼性を高めます。

これを実現するため、JFrog Pipelinesではパイプラインの実行が終了後、暗号化された署名入り台帳を作成し、書き込み不可とします。署名付きパイプラインは全てのパイプラインのアクションが認証された固有のバイナリに対して実行されていることを継続的に検証することで、開発やテストを経て本番環境に移行する際のビルドの信頼性を確保します。PipeInfoと呼ばれるこの新しいメタデータは全てのリリースにおいて検証可能なソフトウェア部品表（SBOM）を提供します。

コールドアーティファクトストレージ

現在、既存のお客様向けにベータ版を提供しているコールド・アーティファクト・ストレージは、使用していないが規制上の要件や企業ポリシーにより保管する必要のあるアーティファクトをアーカイブすることでコスト削減、使いやすさとパフォーマンスの向上を実現します。アーカイブのポリシーはバイナリのメタデータに基づいており、許可されたユーザによるセルフサービスの検索と取得が可能です。

依存性スキャン

開発の初期段階からソフトウェア・アプリケーションの信頼性を大規模に向上させるために、JFrogはGitリポジトリのソースコードから直接サードパーティの依存関係にあるOSSの脆弱性を特定する機能を導入します。JFrog Xrayと統合した依存関係のスキャンにより、開発ライフサイクルの早い段階で脆弱性を検出することができ（シフトレフト）、カスタマイズ可能な自動化されたアクションは組織のセキュリティやコンプライアンスのポリシーに基づいて実行されます（特定の危険なコンポーネントの使用をブロックする等）。この機能は第2四半期にリリースされる予定です。

プラットフォーム統合

ツールの世界に接続することは、JFrog Platformと成功するDevOpsの重要な原則です。新しいプラットフォームの統合はDevOpsのライフサイクルを通して統一されたデータと相関性のあるイベントを依存している多くのツールに提供することで、トレーサビリティとコラボレーションを可能にします。

パイプラインにおけるコラボレーション

リリースを加速するために、イベント通知やセキュリティアラートをチームメンバーに知らせることが重要です。いくつかの新しい統合機能により、開発者、運用チーム、ビルド間のコラボレーションループを完成させることができます。

最新のJira Cloud統合により、ビルドとそれに対応するJiraの課題との間の双方向リンクが可能になり、JiraとJFrogの相互接続が可能となります。

Xrayで検出されたセキュリティ脆弱性用PagerDutyやCI/CD通知用PagerDutyにより新しい統合により、インシデントおよび変更管理が改良されました。

SlackとMS Teamsの新たな双方向連携（現在ベータ版）により、開発部門と運用部門のチームコラボレーションが強化されます。

エンドツーエンドの可視化性

SDLCパイプラインを最高のパフォーマンスで運用するために、いくつかの重要な質問に答えられることが必要です。例えば最もリクエストの多いアーティファクトは？最も利用されているリポジトリは？最も多いユーザは？セキュリティに関しては、どのユーザーがどのIPから実行している？

これらの答えを知るために現在、JFrogが提供しているいくつかの統合はDatadog、Dynatrace、Splunkなどの分析ツールのダッシュボードにログデータを提供します。これらの統合はJFrog Platformのアクティビティを収集し、開発戦略の改善に役立つ重要なフィードバックを提供します。

提供予定日

JFrog Platformの詳細と大規模なバイナリのライフサイクル管理のための新機能を利用するために、https://jfrog.com/ja/platform/をご参照ください。