Blog主页

JFrog 与 GitHub 携手共建,统一软件供应链管理和安全

作者: JFrog China

2 min read

-->

GitHub 和 JFrog 建立的这种合作关系使开发人员能够在世界上使用最广泛的两个开发平台上更有效地管理代码和二进制文件。

注:本文由 JFrog 和 GitHub 共同撰写,并已在 GitHub 博客上发布

 

随着代码量持续呈指数级增长,软件开发人员、DevOps 工程师、运营团队、安全专家以及接触代码的其他人正在越来越多地将时间花在保护、交付和扩展软件的琐碎工作上。这会抑制企业的创造力,并最终减缓每个企业组织的软件开发速度。

 

今天,我们宣布 GitHub 和 JFrog 之间建立新的合作伙伴关系,承诺让开发人员在世界上使用最广泛的两个开发平台上更有效地管理代码和二进制文件,从而有效地节省开发人员的工作时间,提高工作效率。

 

50% 的 JFrog 客户正在使用 GitHub 作为他们的主要代码存储库,以获取最佳的源代码和二进制文件管理效果。 现在,开发人员将能够从一个仪表板进行构建、安全和创新工作,而无需切换上下文分析或放慢开发速度。

 

我们共同构建了一个集成方案,该方案包括源代码和二进制文件之间的直观导航和可追溯性、通过 GitHub Actions 和 JFrog Artifactory 实现的 CI/CD 流程,以及跨整个软件供应链安全扫描的统一视图。通过在整个软件供应链中提供全面的控制和可见性,我们加速实现了让开发人员的生活更轻松、更愉快的共同愿景。

 

 

工作原理如下

在两个平台上通过单点登录 (SSO) 管理访问和角色。我们跨两个平台集成了单点登录 (SSO)、项目角色映射和访问管理以及 CI 集成。通过集中式用户身份和访问管理(IAM),用户无需担心多次登录。

 

“软件供应链管理为开发人员带来了许多挑战和摩擦点。”富达投资 ALM 工具和平台负责人 Gerard McMahon 表示:“JFrog 软件供应链平台与 GitHub 平台的集成旨在提供‘默认安全’的开发者体验。此次合作为开发人员提供了代码和二进制文件的单一可信源,同时,安全团队获得了完整的可追溯性和统一视图来监控和修复漏洞,从而降低了安全风险。”

 

通过 GitHub Actions 与 JFrog Artifactory 之间的集成来跟踪制品生命周期。我们还将 GitHub Actions 与 JFrog Artifactory 集成,以便更好地追踪存储的制品。Actions 生成的二进制制品将包含元数据和流程信息,作为 JFrog Artifactory 中二进制制品数据的一部分,使其成为软件物料清单 (SBOM) 生成中的主要信息。

 

“我们很高兴看到一些增强功能得以实现;我们相信 GitHub 和 JFrog 之间的合作有可能对 DevOps 领域产生重大影响。”摩根士丹利杰出工程师 Amol Shukla 指出。“例如,在 GitHub Actions 工作流程与 Artifactory 中创建和存储的发布制品之间建立双向链接可以增强整个软件供应链的开发人员工作体验和可追溯性。”

 

通过源代码和二进制文件之间的双向链接简化治理流程。为了进一步提高可见性,我们将软件包和代码进行双向链接,以便通过将代码与构建包内部链接来实现精确的跟踪和分类,从而提供更深层次的合规性和面向安全性的输出,以证明代码和二进制文件的出处和来源。

JFrog 任务摘要,以及指向 GitHub 任务的构建信息 SBOM

 

接下来会发生什么

软件供应链安全状态的统一视图。我们的首要任务之一是集成各自的安全产品,以便在 GitHub 仪表板中提供跨两个平台的监控软件供应链安全状态的整体视图。

 

向 GitHub Copilot Chat 询问有关 JFrog 流程、制品等信息。 我们还将 JFrog 引入 GitHub Copilot Chat,以便您可以向 Copilot 询问有关 JFrog Artifactory 中的制品、JFrog 流程和配置的问题,甚至可以向 Copilot 询问有关要使用的最佳软件包和版本的建议。这将 GitHub Copilot 纳入更广泛的软件供应链,以提供更完整的软件开发生命周期视图。

 

除了 DevOps 和 DevSecOps 的实践之外,未来还需要与 AI 工具进行高级交互。”AT&T 技术总监 John Nuttall 指出。 “与 GitHub 的 Copilot 聊天,根据 JFrog Catalog 中存储的大量元数据选择正确且安全的软件包,这可能会改变游戏规则。 这种集成将显著提高 Copilot 用户在整个软件供应链、二进制文件和代码环境中的工作效率。这种合作关系实现了两全其美的好处。”

 

全球各地的企业都希望单点式解决方案能够协同工作,从而为从代码到生产发布的整个软件供应链提供最佳的安全、管理和运营能力。GitHub 和 JFrog 致力于为客户提供最强大的解决方案,我们期待推动现代发展。

试用 JFrog Platform

提供云和私有部署订阅

免费试用

预订演示

售前咨询

联系电话

010-82023518

免费试用

预约演示