使用JFrog DevOps平台简化和自动化包管理过程

现代软件开发的快节奏只能归功于开源软件(OSS)的使用，高达90%的应用程序由OSS组成。然而，超过75%的使用OSS的公司没有正式的管理流程，由于必要的安全审查，造成了巨大的风险和瓶颈。

隐藏的漏洞(例如最近的Log4J漏洞)和许可证遵从性问题的成本可能非常高，并且一旦投入生产就需要花费大量时间来修复。因此，组织需要在不影响开发速度的情况下控制开发人员使用的OSS。拥有一组精心策划的OSS存储库，使组织能够为开发团队提供经过批准的目录。

使用分散的工具、团队和优先级来实现管理可能会很麻烦，会产生盲点，并且通常会阻碍流程。然而，使用集成的DevOps和安全平台可以自动化并简化管理一组健壮的第三方和第一方软件包的任务，以便为开发做好准备。

今天的挑战:不影响速度的策展

OSS包的手工评审的自动化

包管理为开发人员提供了一个开发就绪的OSS依赖库。许多组织正在使用缓慢且孤立的手动流程，这些流程通常需要数周才能解决，从而阻碍了创新。通过跨职能专家设置的自动化策略和审批，您可以保持速度并顺利开发、提交、构建、集成和部署应用程序。

阻碍可见性的不透明进程

组织在跟踪和监视跨开发团队使用开放源码方面面临困难。开发人员很少或根本不知道哪些包已经或正在被批准。这将导致软件发布的延迟，开发后期昂贵的补救措施，或者发布易受攻击的软件。

控制OSS软件包的使用

企业缺乏指导开发人员行为的方法，这些行为可以防止易受攻击的包进入开发。随着更大的团队分布在多个站点，组织需要一个单一的事实来源来跟踪和存储包工作流、批准和使用元数据;并通过一个结构提供共享的可见性，该结构定义了如何、谁以及在哪里可以使用包。

自动化OSS包审批以简化开发

将运维、安全和法规遵从角色引入到DevOps流程中，允许他们设置自动化的规则和对其领域中心的批准策略。这在保证使用安全的同时提高了开发速度。系统将根据域策略自动计算批准状态，将管理时间缩短到几天，而不是几周。

策展过程提供可见性和管理

授权涉众搜索特定的包，并深入到它们的批准、时间戳和风险的细节中。可以看到尚未批准的包和最近发现有漏洞的包，并清楚地指出任何受影响的存储库或构建，以及缓解的证据。

简化开发和CI/CD的最佳实践

无缝集成管理过程与当前的开发工作流程，以保持速度。未经批准的包将与主要开发和生产存储库隔离，直到获得批准。开发人员可以在他们的IDE中使用依赖状态。管理策略将在通过开发、集成到构建或发布到生产的任何提交或推广之前应用。

“在最近的事件之后，例如最近的Log4J漏洞和2021年的软件供应链攻击，组织开始意识到他们需要更多的洞察力和控制开发人员在其应用程序中嵌入的开源组件。”

——jim Mercer, IDC的DevOps和DevSecOps研究总监

开始免费