Les entreprises modernes construisent presque tous leurs produits sur la base de code open source et de dépendances tierces. Cela accélère le développement, mais introduit également une dimension de risque : paquets malveillants (malwares), versions présentant des failles de sécurité critiques, problèmes de licences, ou encore des dépendances immatures et non maintenues.
Dans la plupart des cas, les outils de sécurité traditionnels n’analysent le composant qu’après son intégration dans le repository, le build ou le pipeline.
C’est précisément là qu’intervient JFrog Curation : au lieu de découvrir a posteriori qu’un composant dangereux a déjà pénétré l’entreprise,
JFrog Curation agit au moment de la demande et du téléchargement du paquet, et bloque les composants problématiques avant même qu’ils ne fassent partie du code, du build ou de l’application.
Qu’est-ce que JFrog Curation Package et que propose-t-il ?
JFrog Curation est une couche de gouvernance (governance) et d’application de politiques pour la consommation de paquets open source et de dépendances tierces. On peut le considérer comme une “porte d’entrée” pour les paquets externes : au lieu de laisser chaque dépendance s’intégrer automatiquement à l’environnement, l’entreprise définit des règles qui déterminent quels paquets peuvent être téléchargés, lesquels doivent être bloqués, et lesquels nécessitent une vérification supplémentaire.
La solution permet, entre autres :
- De bloquer les paquets identifiés comme malveillants.
- De bloquer les versions présentant des failles de sécurité en fonction de leur criticité ou de la politique de l’entreprise.
- D’appliquer les politiques de licences.
- De limiter l’utilisation de paquets obsolètes, immatures ou non maintenus.
- De mettre en place des listes d’autorisation (allowlist) et des listes de blocage (blocklist) selon les besoins de l’entreprise.
- De générer une piste d’audit (audit trail) structurée pour chaque décision de blocage ou d’approbation.
La valeur ajoutée pour l’entreprise est claire : moins de dépendance aux décisions manuelles, moins de risques d’introduire des composants dangereux et un meilleur contrôle sur la chaîne d’approvisionnement logicielle (software supply chain).
Comment JFrog Curation fonctionne-t-il dans un environnement auto-hébergé (Self-Hosted / Self-Managed) ?
Dans les environnements sur site (on-premises) ou auto-hébergés gérés de manière autonome, JFrog Curation s’intègre à la plateforme JFrog, et plus particulièrement à Artifactory et Xray.
Le modèle est relativement simple :
- Les développeurs téléchargent des paquets via Artifactory (lors des builds, etc.).
- JFrog Curation vérifie la requête par rapport aux politiques de l’entreprise.
- Si le paquet respecte les conditions (policies), son téléchargement est autorisé.
- Si le paquet enfreint la politique, l’accès est bloqué avant que le composant n’intègre l’environnement.
En d’autres termes, au lieu de se contenter d’une analyse post-téléchargement, l’entreprise bénéficie d’un mécanisme de prévention (prevention) dès la phase d’entrée.
Il s’agit d’un changement fondamental : moins de “nettoyage a posteriori”, plus de prévention en amont.
Que se passe-t-il concrètement lors d’une requête de paquet ?
Lorsqu’un développeur, un pipeline ou un build demande une dépendance via un repository d’entreprise, le système vérifie si le paquet :
- Est identifié comme malveillant.
- Contient des failles de sécurité selon la politique définie.
- Enfreint une politique de licences.
- Ne respecte pas d’autres règles internes établies par l’entreprise.
Si l’une de ces conditions est remplie, le téléchargement peut être bloqué.
Dans certains cas de figure, il est également possible d’autoriser la sélection automatique d’une version plus compatible, au lieu de faire échouer l’ensemble du processus.
Comment JFrog Curation fonctionne-t-il dans un environnement hors ligne (Air-Gapped) ?
Dans les environnements Air-gapped, le défi est différent : il n’y a pas de connexion directe à Internet, il est donc impossible de s’appuyer sur un accès ouvert aux référentiels publics.
Dans de telles situations, il est courant de travailler avec un processus contrôlé où les dépendances sont récupérées dans une zone externe ou une DMZ, vérifiées et approuvées, avant d’être promues en interne vers l’environnement isolé.
Dans ce modèle, JFrog Curation s’intègre comme élément du mécanisme de contrôle :
- Les composants externes sont d’abord téléchargés vers un environnement contrôlé.
- Ces composants sont soumis à des analyses, des vérifications de politiques et à la curation.
- Seuls les paquets approuvés sont promus en interne vers les repositories internes.
- Au sein de l’environnement isolé, on ne continue de travailler qu’avec les composants préalablement approuvés.
Ainsi, même les entreprises opérant sur des réseaux isolés peuvent bénéficier d’une gouvernance stricte sur les paquets open source, sans exposer l’environnement lui-même à Internet.
Comment JFrog Curation empêche-t-il les paquets malveillants d’infiltrer le code et l’application ?
L’un des principaux avantages de JFrog Curation est qu’il n’attend pas que le problème se manifeste en production.
Au lieu de cela, il permet d’identifier et de bloquer les paquets dangereux avant même qu’ils ne soient consommés par les développeurs ou par les processus CI/CD.
Cela inclut la protection contre des menaces telles que :
- Les paquets malveillants intentionnellement téléchargés sur des référentiels publics.
- Le typosquatting – des paquets avec un nom similaire à celui d’un paquet légitime.
- La confusion de dépendances (dependency confusion).
- Les versions contenant un code dangereux ou un comportement suspect.
- Les versions vulnérables présentant des failles connues.
D’un point de vue pratique, l’entreprise réduit le risque qu’un composant malveillant s’intègre au build, soit déployé dans l’application, pour finalement atteindre les environnements de test ou de production.
Comment JFrog Curation améliore-t-il la sécurité et protège-t-il l’environnement ?
L’apport de JFrog Curation ne se limite pas au simple blocage des paquets malveillants. Il améliore le niveau de sécurité global à travers plusieurs couches :
1. Prévention précoce au lieu d’une réaction tardive
Plutôt que de découvrir un composant dangereux une fois introduit dans l’entreprise, le blocage s’effectue dès l’étape de consommation.
2. Réduction de la surface d’attaque
Moins il y a de composants problématiques introduits en interne, plus le risque d’exploitation, de fuite de données ou de compromission de la chaîne d’approvisionnement est réduit.
3. Application d’une politique unifiée
Toutes les équipes de développement, sur l’ensemble des projets, suivent les mêmes règles. Cela s’avère particulièrement crucial pour les grandes entreprises ou celles décentralisées.
4. Amélioration de la conformité (compliance)
Au-delà de la sécurité, il est également possible d’imposer le respect des licences, l’utilisation de versions approuvées et l’application des politiques internes concernant les composants autorisés et interdits.
5. Transparence et contrôle
Grâce à une piste d’audit (audit trail) structurée, il est possible de comprendre qui a demandé quoi, ce qui a été bloqué, ce qui a été approuvé, et la justification de chaque décision.
Qu’en est-il des licences et de la tarification ?
La solution Curation de JFrog est payante et fait généralement partie d’une solution plus globale de gouvernance et de sécurité de la software supply chain.
Le coût de Curation dépend du nombre d’utilisateurs, du type de licence, de l’étendue de l’utilisation / du déploiement, entre autres. Pour obtenir des tarifs précis et un devis, n’hésitez pas à nous contacter (voir coordonnées ci-dessous).
Comment JFrog Curation permet-il de faire des économies et comment mesurer le ROI ?
Bientôt disponible
(Vous pouvez nous contacter par email pour plus de détails entre-temps)
En résumé :
JFrog Curation offre aux entreprises un moyen pragmatique de cesser de gérer les risques liés à l’open source de manière réactive, pour commencer à appliquer des politiques dès l’intégration du composant dans l’environnement. Pour les entreprises disposant de systèmes auto-hébergés (Self-Hosted) ou hors ligne (Air-Gapped), il s’agit d’une étape majeure pour améliorer la sécurité, réduire les risques liés à la supply chain, renforcer la conformité et diminuer les coûts opérationnels sur le long terme.
Plutôt que de détecter les problèmes une fois qu’ils sont déjà présents, il est possible de les arrêter à la source.
La société ALM Toolbox est le représentant officiel de JFrog. Nous fournissons une assistance et des licences pour les solutions JFrog, notamment Artifactory, Xray, Curation et bien d’autres, ainsi qu’un accompagnement sur les infrastructures DevOps et DevSecOps / AppSec pour la création d’une chaîne d’approvisionnement sécurisée, la conception de code et d’applications sécurisés, et l’intégration aux processus de développement (SDLC / ALM) et aux outils de développement.
Pour plus d’informations, n’hésitez pas à nous contacter : jfrog@almtoolbox.com ou par téléphone au 072-240-5222
Foire aux questions (FAQ) sur JFrog Curation :
JFrog Curation remplace-t-il Xray ?
Non. JFrog Curation est principalement conçu pour la prévention précoce au point d’entrée du paquet, tandis que Xray offre des capacités d’analyse, d’inspection et de surveillance continue des composants déjà présents dans le système.
JFrog Curation est-il également adapté aux environnements auto-hébergés (Self-Hosted) ?
Oui. Il s’agit de l’un de ses principaux cas d’usage, notamment pour les entreprises nécessitant un contrôle total sur la configuration du déploiement, la sécurité et la gouvernance.
Peut-on également l’utiliser dans un environnement hors ligne (Air-Gapped) ?
Oui. En général, cela s’effectue via un processus contrôlé d’extraction de composants, de vérification, d’analyse et de promotion des paquets approuvés au sein de l’environnement isolé.
La solution nuit-elle à l’expérience des développeurs ?
Lorsque la politique est correctement définie, le résultat est généralement inverse : moins de mauvaises surprises tardives, moins de changements de dépendances sous la pression du temps, et une plus grande certitude quant à ce qui est autorisé à être consommé.
Peut-on imposer des politiques de licences et non seulement de sécurité ?
Oui. L’un des avantages de JFrog Curation réside dans la possibilité de combiner des critères de sécurité, de licences, de gouvernance et de politique d’entreprise unifiée.
À qui cette solution est-elle particulièrement adaptée ?
Aux entreprises qui développent à un rythme soutenu, consomment beaucoup de composants open source, sont soumises à des réglementations, opèrent dans des environnements Self-Hosted ou Air-Gapped, et souhaitent neutraliser les risques le plus tôt possible.
