JFrog（納斯達克股票代碼：FROG）與全球領先的代碼開發(fā)平臺GitHub近期在 JFrog 年度用戶大會上發(fā)布全新集成功能，通過持續(xù)深化的合作為開發(fā)者提供能夠呈現項目狀態(tài)和安全態(tài)勢的綜合視圖，幫助他們快速解決公司高級安全產品發(fā)現的潛在漏洞。此外，為幫助開發(fā)者深入快速了解第三方軟件包，雙方還宣布推出 Copilot Chat擴展插件，以快速選擇已更新、經企業(yè)批準且可安全使用的軟件包。

JFrog 首席技術官兼聯(lián)合創(chuàng)始人 Yoav Landman 表示：“ 開發(fā)者要想提高工作效率，就需要全面了解他們集成到軟件中的代碼和二進制文件的質量和安全性。我們與 GitHub 的合作使團隊能夠使用 Copilot 快速了解并確保這些信息的可信度。我們的合作還使開發(fā)者能夠通過更直觀的工作流，在代碼和構建過程當中生成的二進制制品之間進行導航，以便其更快地構建和發(fā)布受信軟件。我們共繪發(fā)展藍圖，并期待為我們的客戶提供統(tǒng)一的平臺體驗。”

根據 JFrog 發(fā)布的《2024年全球軟件供應鏈發(fā)展報告》，只有 56% 的公司會同時使用源代碼和二進制掃描來保護其軟件供應鏈，這使得近半數的公司面臨著二進制級別的安全漏洞風險，而這為企業(yè)帶來了巨大的安全隱患。 同時，JFrog 安全研究團隊近期發(fā)現Docker 容器中意外遺留了一個令牌，該令牌授予了對 Python 包存儲庫的完全訪問權限。如果此令牌被發(fā)現和利用，將影響全球數千萬臺計算機系統(tǒng)，這些系統(tǒng)支撐著當今大多數互聯(lián)網和云基礎設施、自動化工作任務、金融服務和數據分析。

通過整合最佳源代碼和二進制平臺，創(chuàng)建安全的開發(fā)者工作流

JFrog 與 GitHub 的集成有望提供一種更簡單、更安全的方式，從而實現在兩個平臺上追蹤從源代碼到所生成的二進制文件的代碼周期，主要功能如下：

• 通過Copilot Chat 集成可獲得有關軟件包的深入洞察：全新 GitHub Copilot 擴展插件通過在 JFrog 二進制環(huán)境中提供有關開源軟件包的深入洞察以及 GitHub 代碼數據，使開發(fā)者無需搜索文檔或在線論壇，從而提高工作效率。其提供的建議符合企業(yè)的管理政策，使開發(fā)者能夠基于安全性和市場應用情況選擇軟件包，從而根據業(yè)務做出明智之選。將 Copilot 的聊天功能與 JFrog 的制品元數據相結合，為開發(fā)者打造了一個強大的 AI 助手。

• 整合型安全統(tǒng)一管理面板：GitHub Advanced Security 和 JFrog Advanced Security（包括發(fā)現上述 Python 漏洞的掃描程序）安全掃描結果的統(tǒng)一視圖可幫助開發(fā)者在開發(fā)生命周期的早期階段識別并消除潛在的軟件漏洞，從而節(jié)省時間成本并降低風險。

• 雙向端到端發(fā)布追溯：GitHub 上的全新作業(yè)摘要頁面為開發(fā)者提供了每個 GitHub Actions 工作流運行和安全狀態(tài)的快速視圖，使開發(fā)者可以迅速查看每個構建的輸出軟件包，輕松跳轉至JFrog Artifactory 中的位置并返回原頁面。這種雙向導航利用 JFrog Artifactory 中保存的軟件物料清單（SBOM），增強了軟件追溯能力。

動態(tài)項目映射和身份驗證：利用當前的 OpenID Connect（OIDC）集成，改進了 GitHub 存儲庫和 Artifactory 中 JFrog 項目之間的自動授權和無縫項目映射，開發(fā)者無需對每個存儲庫重新進行身份驗證。