Moderní organizace staví téměř každý produkt na open source kódu a závislostech třetích stran. To urychluje vývoj, ale také přináší rozměr rizika: škodlivé balíčky (malware), verze s kritickými bezpečnostními zranitelnostmi, problémy s licencemi nebo nevyzrálé a neudržované závislosti.
Ve většině případů se tradiční bezpečnostní nástroje setkávají s komponentou až poté, co se již dostala do repozitáře, buildu nebo pipeline.
A přesně zde přichází na scénu JFrog Curation: místo toho, abyste zpětně zjistili, že se nebezpečná komponenta již dostala do organizace,
JFrog Curation funguje v bodě požadavku a stažení balíčku a blokuje problematické komponenty ještě dříve, než se stanou součástí kódu, buildu nebo aplikace.
Co je JFrog Curation Package a co poskytuje?
JFrog Curation je vrstva správy (governance) a prosazování zásad pro používání open source balíčků a závislostí třetích stran. Můžete si to představit jako „vstupní bránu“ pro externí balíčky: místo aby každá závislost (dependency) automaticky vstoupila do prostředí, organizace definuje pravidla, která určují, jaké balíčky je povoleno stáhnout, které by měly být zablokovány a které vyžadují další kontrolu.
Toto řešení mimo jiné umožňuje:
- Blokovat balíčky označené jako škodlivé.
- Blokovat verze s bezpečnostními zranitelnostmi na základě úrovně závažnosti nebo firemních zásad.
- Prosazovat licenční zásady.
- Omezit používání balíčků, které jsou příliš staré, nevyzrálé nebo neudržované.
- Používat allowlist a blocklist podle potřeb organizace.
- Vytvářet organizovaný audit trail pro každé rozhodnutí o zablokování nebo schválení.
Obchodní dopad je zřejmý: menší závislost na manuálních rozhodnutích, nižší riziko vniknutí nebezpečných komponent a větší kontrola nad dodavatelským řetězcem softwaru.
Jak funguje JFrog Curation v prostředí Self-Hosted / Self-Managed?
V nezávisle spravovaných prostředích on-premises / self-hosted se JFrog Curation integruje s platformou JFrog, a zejména s nástroji Artifactory a Xray.
Model je poměrně jednoduchý:
- Vývojáři stahují balíčky přes Artifactory (během buildu atd.).
- JFrog Curation zkontroluje požadavek proti firemním zásadám.
- Pokud balíček splňuje podmínky (policies) – stažení je povoleno.
- Pokud balíček porušuje zásady, přístup je zablokován ještě dříve, než komponenta vstoupí do prostředí.
Jinými slovy, místo pouhého skenování po stažení získá organizace mechanismus prevence (prevention) již ve fázi vstupu.
To je zásadní změna: méně „následného úklidu“, více prevence předem.
Co se reálně stane při požadavku na balíček?
Když vývojář, pipeline nebo build požaduje závislost přes firemní repozitář, systém zkontroluje, zda balíček:
- Byl identifikován jako škodlivý.
- Obsahuje bezpečnostní zranitelnosti podle zásad.
- Porušuje licenční zásady.
- Nesplňuje další interní pravidla stanovená organizací.
Pokud je některá z podmínek splněna, stažení může být zablokováno.
V některých scénářích lze také umožnit automatický výběr vhodnější verze namísto selhání celého procesu.
Jak funguje JFrog Curation v prostředí Air-Gapped?
V prostředích Air-Gapped je výzva jiná: neexistuje žádné přímé připojení k internetu, a proto se nelze spoléhat na otevřený přístup k veřejným repozitářům.
V těchto situacích je obvyklé pracovat s kontrolovaným procesem, kdy jsou závislosti stahovány do externí oblasti nebo do DMZ, zkontrolovány a schváleny, a teprve poté jsou přesunuty do izolovaného prostředí.
V tomto modelu je JFrog Curation integrován jako součást kontrolního mechanismu:
- Externí komponenty jsou nejprve staženy do kontrolovaného prostředí.
- Komponenty projdou skenováním, kontrolou zásad a curation.
- Pouze schválené balíčky jsou přesunuty do interních repozitářů.
- Uvnitř izolovaného prostředí se nadále pracuje pouze s komponentami, které již byly schváleny.
Organizace operující v izolovaných sítích tak mohou využívat výhod přísné správy nad open source balíčky, aniž by musely samotné prostředí vystavit internetu.
Jak JFrog Curation zabraňuje vniknutí škodlivých balíčků do kódu a aplikace?
Jednou z hlavních výhod JFrog Curation je, že nečeká, až se problém objeví v produkci.
Místo toho pomáhá identifikovat a blokovat nebezpečné balíčky ještě předtím, než jsou použity vývojáři nebo CI/CD procesy.
To zahrnuje ochranu před scénáři jako:
- Škodlivé balíčky záměrně nahrané do veřejných repozitářů.
- Typosquatting – balíčky s podobným názvem jako legitimní balíček.
- Dependency confusion (záměna závislostí).
- Verze s nebezpečným kódem nebo podezřelým chováním.
- Zranitelné verze se známými chybami.
V praxi to znamená, že organizace snižuje pravděpodobnost, že se škodlivá komponenta dostane do buildu, bude integrována do aplikace a nakonec se dostane do testovacího nebo produkčního prostředí.
Jak JFrog Curation zlepšuje zabezpečení a chrání prostředí?
Přínos JFrog Curation nespočívá pouze v blokování škodlivých balíčků. Zlepšuje celkovou úroveň ochrany v několika vrstvách:
1. Včasná prevence místo zpožděné reakce
Místo objevení nebezpečné komponenty poté, co se již dostala do organizace, je zablokována hned ve fázi stahování.
2. Snížení plochy útoku (Attack Surface)
Čím méně problematických komponent se dostane dovnitř, tím menší je riziko zneužití, úniku dat nebo poškození dodavatelského řetězce.
3. Jednotné prosazování zásad
Všechny vývojové týmy napříč všemi projekty pracují podle stejných pravidel. To je důležité zejména ve velkých nebo decentralizovaných organizacích.
4. Zlepšení shody s předpisy (Compliance)
Kromě bezpečnosti lze prosazovat i licence, používání schválených verzí a interní zásady týkající se povolených a zakázaných komponent.
5. Transparentnost a kontrola
S přehledným audit trailem můžete zjistit, kdo co požadoval, co bylo zablokováno, co bylo schváleno a proč bylo učiněno konkrétní rozhodnutí.
A co licence a ceny?
Řešení Curation od JFrog je placené a je obvykle součástí širšího řešení pro správu a bezpečnost dodavatelského řetězce softwaru.
Cena Curation závisí na počtu uživatelů, typu licence, rozsahu použití a dalším. Pro přesné ceny a cenovou nabídku nás můžete kontaktovat (podrobnosti níže).
Jak JFrog Curation šetří peníze a jak se měří ROI?
Již brzy
(Mezitím nás pro více podrobností můžete kontaktovat e-mailem)
Shrnutí:
JFrog Curation poskytuje organizacím praktický způsob, jak přestat řešit rizika open source pouze zpětně, a začít prosazovat zásady již ve fázi vstupu komponenty do prostředí. Pro organizace s prostředím Self-Hosted nebo Air-Gapped se jedná o významný krok ke zlepšení bezpečnosti, snížení rizik v dodavatelském řetězci (supply chain), posílení shody s předpisy a dlouhodobému snížení provozních nákladů.
Místo objevování problémů až ve chvíli, kdy jsou už uvnitř, je můžete zastavit předem.
Společnost ALM Toolbox je oficiálním zástupcem společnosti JFrog a poskytuje podporu a licence pro řešení JFrog, včetně Artifactory, Xray, Curation a dalších, a také pomoc s infrastrukturou DevOps a DevSecOps / AppSec k vybudování bezpečného dodavatelského řetězce pro bezpečný vývoj kódu a aplikací a propojení s vývojovými procesy (SDLC / ALM) a vývojovými nástroji.
Pro více podrobností nás můžete kontaktovat: jfrog@almtoolbox.com nebo telefonicky 072-240-5222
Často kladené otázky (FAQ) o JFrog Curation:
Ne. JFrog Curation je primárně určen pro včasnou prevenci v místě vstupu balíčku, zatímco Xray poskytuje schopnosti skenování, analýzy a průběžného monitorování komponent, které se již v systému nacházejí.
Ano. Jde o jeden z jeho hlavních scénářů použití, zejména v organizacích, které potřebují plnou kontrolu nad konfigurací nasazení, bezpečností a správou.
Ano. Obvykle se to provádí prostřednictvím kontrolovaného procesu stahování komponent, kontroly, skenování a přesunu schválených balíčků do izolovaného prostředí.
Když jsou zásady správně definovány, výsledek je obvykle opačný: méně nepříjemných překvapení v pozdějších fázích, méně výměn závislostí pod časovým tlakem a větší jistota ohledně toho, co je povoleno používat.
Ano. Jednou z výhod JFrog Curation je možnost kombinovat ohledy na bezpečnost, licence, správu a jednotné firemní zásady.
Pro organizace, které vyvíjejí vysokým tempem, používají hodně open source kódu, podléhají regulacím, provozují prostředí Self-Hosted nebo Air-Gapped a chtějí zastavit rizika co nejdříve.
