GitHub

JFrog GitHubの統合を完全に体験するには、両方のプラットフォームでEnterpriseサブスクリプションが必要です。現在のGitHub Enterpriseのユーザーは、JFrog Platformのトライアルに登録して、それらのインスタンスを接続することができます。逆にJFrog Platformのユーザーも同様のことができます。

この統合は、JFrogと、GitHubのSaaS/マネージドサービスおよびセルフホストバージョンで行うことができます。

統合のメリットを享受するために、GitHub Advanced Securityは必ずしも必要ではありません。有効にすると、JFrogからのセキュリティ結果をGitHub Advanced Securityに統合して、統一されたビューにすることができます。

Frogbotは、リポジトリスキャン、プルリクエストスキャン、およびその他のGitHubネイティブ機能に使用されます。JFrog CLIを使用すると、XrayとJFrog Advanced Securityの機能をビルドプロセスとSDLCに統合できます。

GitHub UIにビルド用の「JFrog Summary」が追加され、バイナリへのリンク、ビルドのロケーション、脆弱性情報が表示されます。

最適なメリットを得るためには、CI/CDプロセス全体でJFrogを使用することをお勧めします。Xrayを含むすべてのクラスはGitHub Actionsと統合できますが、高度な機能が含まれる場合はEnterpriseX以上が必要です。

OIDCのセットアップでは、GitHub ActionsとJFrog CLIで使用できる有効期間の短いトークンが提供されます。

JFrogのスキャン結果はGitHubのセキュリティタブで確認できます。JFrog SASTとSCAにはGitHub Advanced Securityライセンスは必要ありませんが、最適な統合のためにJFrogに相談することをお勧めします。

GitHub Packagesを使用することもできますが、Artifactoryはパッケージ管理に適した方法であり、業界標準の機能が搭載され、ソフトウェアサプライチェーンのセキュリティが強化されます。