使用JFrog DevOps平台简化和自动化包管理过程
现代软件开发的快节奏只能归功于开源软件(OSS)的使用,高达90%的应用程序由OSS组成。然而,超过75%的使用OSS的公司都没有适当的或没有正式的管理过程,由于必要的安全审查,造成了巨大的风险和瓶颈。
隐藏的漏洞(例如最近的Log4J漏洞)和许可合规性问题可能会带来难以置信的代价,并且一旦进入生产环境就需要时间进行补救。因此,组织需要在不影响速度的情况下控制开发人员使用的OSS。拥有一组精心策划的OSS存储库,使组织能够使用经过批准的目录为开发团队提供服务。
使用碎片化的工具、团队和优先级实现策展可能会很麻烦,导致盲点,并且通常会阻碍过程。然而,使用集成的DevOps和安全平台可以自动化并简化管理一组健壮的第三方和第一方软件包的任务。
今天的挑战:不影响速度的策展
OSS包的手动评审的自动化
包管理使开发人员能够使用开发就绪的OSS依赖库。许多组织正在使用缓慢和孤立的手动流程,这通常需要数周的时间来解决,阻碍了创新。通过您的跨职能专家设置的自动化策略和审批,您可以保持速度并顺利地开发、提交、构建、集成和部署应用程序。
阻碍可见性的不透明进程
组织在跨开发团队跟踪和监控开源的使用方面面临困难。开发人员很少或根本不知道哪些包已经或正在被批准。这将导致软件发布的延迟,在开发后期进行昂贵的补救,或者发布易受攻击的软件。
控制OSS包的使用
企业缺乏指导开发人员行为的方法,以防止易受攻击的包进入开发。随着更大的团队分布在多个站点,组织需要一个单一的真实来源来跟踪和存储包工作流、批准和使用元数据;并通过一个结构提供共享的可见性,该结构定义了如何、谁以及在哪里可以使用包。
jfrog如何提供帮助:全面洞察软件组件
自动化OSS包审批以简化开发
通过允许操作、安全和合规性角色设置其领域中心的自动化规则和批准策略,将操作、安全和合规性角色引入DevOps流程。这提高了开发速度,同时保证了使用的安全性。系统将根据域策略自动计算审批状态,将管理时间缩短到几天而不是几周。
策展过程提供可见性和管理
授权涉众搜索特定的包,并深入到他们的批准、时间戳和风险的细节。可见尚未批准的包和最近发现存在漏洞的包,并明确指出任何受影响的存储库或构建以及缓解的证明。
简化开发和CI/CD的最佳实践
无缝集成管理流程与当前开发工作流程,以保持速度。未经批准的包与主要开发和生产存储库隔离,直到批准为止。开发人员可以在他们的IDE中使用依赖状态。在通过开发、集成到构建或分发到生产的任何提交或推广之前,将应用管理策略。
“在最近发生的事件之后,如最近的Log4J漏洞和2021年的软件供应链攻击,组织开始意识到他们需要对开发人员嵌入到应用程序中的开源组件有更多的洞察和控制。”
——IDC DevOps和DevSecOps研究总监jim Mercer
