JFrogとGitHubが提携を発表 コードとバイナリの管理を効率化、その具体策とは?:3つの分野で統合 サプライチェーンセキュリティ確保を支援
JFrogとGitHubは、新たなパートナーシップを締結したと発表した。ソースコードとバイナリの効率的な管理を実現し、ソフトウェアサプライチェーン全体の可視性を向上させるとしている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
JFrogとGitHubは2024年5月29日、新たなパートナーシップを締結したと発表した。この提携により、ソースコードを構築するGitHubと構築されたバイナリを保存するJFrog間において、ユーザーの操作性と追跡可能性(トレーサビリティー)を向上させるという。ユーザーには、両社のプラットフォームを統合したセキュリティビューも提供される。
IDCでアナリストを務めるジム・マーサー氏は「今回の提携は、両社のソリューションを統合しやすくすることに焦点を当てており、それぞれの強みを生かした連携に重点が置かれている。『GitHub Actions』とJFrogのプラットフォームは、互いに弱い部分を補完し合う傾向があるため、相互にバランスが取れている」と述べている。
同じくIDCでアナリストを務めるケイティ・ノートン氏は「MLOps、DevOps、DevSecOpsは統合される方向に進むだろう。これらのプロセスを同じツールにまとめることで、効率が上がるだけでなく、費用対効果や安全性も高まる」と述べている。
JFrogとGitHubの提携で何が変わるのか
JFrogの共同創設者兼CTO(最高技術責任者)のヨアブ・ランドマン氏によると、GitHubとJFrogの統合では3つの分野に重点が置かれるという。1つ目の分野は、プロジェクトのリソースとアクセス許可の管理におけるユーザーエクスペリエンス(UX)だ。シングルサインオン(SSO)機能や、GitHubのコードリポジトリと「JFrog Projects」間でのマッピング機能が提供される。
2つ目はトレーサビリティーだ。GitHub ActionsとJFrogパッケージの統合により、双方向のナビゲーションが提供可能になる。これにより、GitHub Actionsのワークフローで作成されたバイナリを、JFrogのバイナリマネジャーである「JFrog Artifactory」に保存できる。ランドマン氏によると、開発チームはGitHub Actionsのワークフローから、ビルド結果として出力されたパッケージリストを使用して、JFrog Artifactoryの保存場所をナビゲートできる。あるいはその逆方向で、保存場所からパッケージリストをナビゲートすることもできるようになるという。
この双方向ナビゲーションは、JFrog Artifactoryにバイナリとして保存されるソフトウェア部品表(SBOM)パッケージにも拡張されている。開発者チームにとっては、今回の統合により、ソースコードの来歴やソフトウェアの依存関係へのアクセスがこれまで以上に容易になるとランドマン氏は説明する。
「これまでもこうしたアクセス機能はあったが、より使いやすくなった。1カ所にまとめられたため、ビルドの結果を見てJFrogのSBOMに移動したり、SBOMからビルドに戻ることも可能になる」(ランドマン氏)
3つ目はセキュリティだ。バイナリをスキャンする「JFrog Advanced Security」とソースコードをスキャンする「GitHub Advanced Security」の統合ビューがユーザーに提供される。
ランドマン氏は「GitHub Advanced SecurityとJFrog Advanced Securityの調査結果がGitHubのセキュリティビューにまとめて表示される。ビューを切り替える必要がなくなる」と述べている。
AIモデル開発も含めたサプライチェーンセキュリティ確保が重要に
IDCのノートン氏は、今回の提携が、サプライチェーンセキュリティ確保をより実現可能にする「ワンプラットフォーム(one platform)」に向けての後押しになると指摘する。
「これらの統合は、ソフトウェアサプライチェーンのセキュリティ確保に奮闘しているIT部門にとって役立つ可能性がある。ソースコードの来歴管理といったプラクティスの実現が容易になる」(ノートン氏)
同氏はさらに、ソフトウェア開発におけるAI(人工知能)の進化と開発者以外にもAIの影響が広がっていることを踏まえ、「IT運用の規律を、普遍的なプラクティスへと広げることを目指すJFrogの『EveryOps』やXOpsの実現を目指す上では、GitHubやJFrogのような企業は『摩擦のないエクスペリエンス』を提供する必要がある」と指摘している。
「AIベースのアプリケーションはモデルが原動力になる。そのモデルは、高品質のソフトウェアアプリケーションの一部として、セキュリティ確保、管理、追跡、展開する必要がある。とはいえ、多くのIT部門にとってモデルの開発は比較的新しい取り組みで、開発が単独で進んでいる。ソフトウェア開発で既に確立されている広範なプラクティスとの統合が不足している」(ノートン氏)
関連記事
Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには
OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、@ITが開催した「@IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか?〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。
Platform Engineeringは開発者の自由を奪うことにつながらないのか、HashiCorpダドガー氏の答えは
「Platform Engineering」におけるプラットフォームとは具体的には何か。開発・運用の現場をどう変えるか。連載の第2回ではこれについて、アプリケーション開発/運用の現場をよく知るHashiCorpの共同創業者兼CTO、アーモン・ダドガー(Armon Dadgar)氏に詳しく聞いた。
元現場エンジニアの「もっとこうしておけばよかった」から学ぶDevSecOpsのヒント
元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。