Yazılım güvenliği uzmanı JFrog ve açık kaynak kodlu yazılım geliştirme topluluk hizmeti GitHub, JFrog’un Yazılım Tedarik Zinciri Platformu’nun yeteneklerini GitHub’ın kod geliştirme platformunda kullanan entegrasyonları duyuruyor.
Ortaklar, bu işbirliğinin proje durumu ve güvenlik duruşu hakkında birleşik bir görünüm sağlayacağını, geliştiricilerin yazılım geliştirme döngüsünün daha erken aşamalarında potansiyel güvenlik açıklarını ele almalarına olanak tanıyacağını, verimliliklerini artıracağını ve hem maliyeti hem de riski azaltacağını iddia ediyor.
JFrog, entegrasyonun aynı zamanda yazılım geliştirmenin planlamadan üretime kadar her aşamasına güvenliği entegre etme vizyonunu da genişlettiğini söyledi.
JFrog’un baş teknoloji sorumlusu (CTO) ve kurucu ortağı Yoav Landman, “Geliştiriciler genellikle bir sorun olduğunu, bir şey bozulana kadar fark etmiyorlar; ancak o zaman bulmacayı bir araya getirip neyin yanlış gittiğini bulmaya başlayabiliyorlar” diyor.
“GitHub ile ortaklığımız, ekiplerin kod geliştirme ve ikili depolama arasında sorunsuz bir şekilde gezinmesini sağlayarak daha sezgisel bir iş akışı sağlıyor.
Landman, “Bu entegrasyonun geliştirici deneyimini ve izlenebilirliğini geliştirmesi, kaynak kodlarını ilgili ikili dosyalara kolayca bağlayabilmelerini ve aynı zamanda konsolide bir güvenlik görünümü sağlayarak, görünmeyen güvenlik açıkları endişesi olmadan yüksek kaliteli yazılım sunmaya odaklanabilmelerini sağlaması bekleniyor” dedi.
GitHub CTO’su Jason Warner şunları ekledi: “JFrog ile, geliştiricilere, yapılarının durumu ve güvenliğiyle ilgili tüm bilgileri tek bir yerde sağlayarak sorunsuz ve güvenli bir deneyim yaratmak için yaptığımız iş birliğinden büyük heyecan duyuyoruz.
“JFrog ve GitHub’ın güçlerinin bir araya getirilmesinin, kaynak kodundan ikili dosyalara kadar tüm yazılım tedarik zincirinin güvenliğini önemli ölçüde artırması bekleniyor.”
JFrog ve Github’ın güçlerinin bir araya getirilmesinin, kaynak kodundan ikili dosyalara kadar tüm yazılım tedarik zincirinin güvenliğini önemli ölçüde artırması bekleniyor
Jason Warner, GitHub
Yakın zamanda yayınlanan bir JFrog raporuna göre, kuruluşların yalnızca %56’sı yazılım tedarik zincirlerini güvence altına almak için hem kaynak kodunu hem de ikili taramayı kullanıyor. Bu da binlerce işletmeyi en temel düzeyde saldırılara açık hale getiriyor. Tehdit aktörlerinin hem hataları ve kusurları hem de ikili dosyalarda depolanan hassas bilgileri ortaya çıkarmada son derece yetenekli olduklarını kanıtlamaya devam ettiği bir dönemde bu oldukça riskli bir önerme.
JFrog araştırmacılarının yakın zamanda Docket konteynerinde yanlışlıkla bırakılan ve Python paket deposuna tam erişim sağlayan bir token’ı keşfetmesi bu noktayı açıkça gösteriyor; bu token istismar edilmiş olsaydı, aralarında çekirdek internet ve bulut altyapısının da bulunduğu dünya çapındaki on milyonlarca sistem etkilenecekti.
İş akışlarını güvence altına almak için tek platform
Ortaklar, özünde entegrasyonun geliştiricilere açık kaynak kodunun kökenini kaynaktan her iki platformda ortaya çıkan ikili dosyalara kadar izlemek için daha kolay ve güvenli bir yol sunmasını bekliyor. İş birliğinin bunu üç temel metodoloji aracılığıyla gerçekleştireceğini açıkladılar.
Bunlardan ilki, İki Yönlü Kod Gezintisi ve İş Görünürlüğü olarak adlandırılır ve geliştiricilerin GitHub Actions İş Akışlarından JFrog Artifactory’ye ve tekrar geriye, derlemenin çıktısı altında oluşturulan paketlerin bir listesini kullanarak, nihai olarak depolandığı yere gitmelerine yardımcı olur. Bu, takımların kod kökeni, bağımlılıklar vb. hakkında daha iyi bir kavrayış elde etmelerine yardımcı olabilecek yazılım malzeme listesi (SBOM) paketlerine kadar uzanacaktır.
İkinci metodoloji olan Birleşik, Güvenli Tek Oturum Açma (SSO), geliştirme ortamları arasında geçiş yaparken ortaya çıkan sorunları çözmeye yardımcı olacaktır. Geleneksel olarak, bu süreç yanlışlıkla beraberinde büyük riskler getirebilen belirteçlere dayanıyordu. OpenID Connect SSO desteğini kullanarak, GitHub Actions ve JFrog Platformu güvenilir bir ilişki kuracak ve geliştiricilerin kimliğini doğrulamak için belirteç yönetimini otomatikleştirecek, böylece bir ortamdan diğerine hızlı ve kolay bir şekilde geçiş yapmalarına olanak tanıyacaktır.
Son olarak, Birleştirilmiş Güvenlik Durumu Panoları, geliştiricilere birleşik panolar sağlayarak, ilgili GitHub ve JFrog araçlarından gelen güvenlik tarama sonuçlarını görmelerine olanak tanırken, izinler ve kimlik yönetimiyle birlikte sorunları daha hızlı tespit etmelerine yardımcı olacak.
GitHub Yardımcı Pilotu
JFrog, ana duyurunun yanı sıra, geliştiricilerin JFrog ve GitHub ortamlarıyla ilgili genel soruları yanıtlamalarına yardımcı olan bir sohbet özelliği aracılığıyla üretkenliğini artırmayı amaçlayan GitHub’ın mevcut Copilot Extensions programına katılımını da duyurdu. Böylece, yığınla belge arasında gezinme veya forumlarda arama yapmak için zaman harcama gereksinimi ortadan kalkıyor.