JFrog révèle Xray – Les DevOps deviennent omniscients

Connaissez-vous bien les logiciels que vous fabriquez et livrez et leur impact sur la production ?

JFrog Xray propose un nouveau standard pour les organisations : transparence totale et analyse d’impact en profondeur. JFrog présente aujourd’hui son quatrième produit, JFrog Xray, qui procure aux organisations une visibilité sans précédent sur le contenu des composants logiciels. Cette annonce – délivrée lors de swampUP, la conférence annuelle de JFrog – représente une avancée majeure dans l’amélioration de l’efficacité des équipes, de développement,

DevOps et Cybersécurité, et dans l’accélération des processus de livraison en continu. JFrog Xray est le premier outil d’analyse d’impact universel, apportant aux organisations une compréhension exhaustive du contenu de leurs conteneurs logiciels, packages, bibliothèques et artefacts binaires, dans un contexte de forte croissance du volume et de la variété des composants que les équipes de développement partagent lors de la construction et la distribution des logiciels. JFrog Xray est le seul produit sur le marché capable de fournir une transparence totale pour tous les composants utilisés par les organisations.

Il inclut :

● L’analyse d’impact pour des environnements de production et d’intégration en continu

● Un graphe de dépendance “zoomable” pour dénicher les vulnérabilités et nonconformités au coeur des logiciels

● Une API ouverte qui permet l’intégration avec toute technologie de scan de composant, existante ou future, dans le cadre de processus d’introspection spécifiques pour répondre à des exigences de performance, de qualité, ou toute autre raison

● Une solution universelle qui s’intègre avec de multiples bases de données de vulnérabilité et conformité, comme VersionEye, Black Duck and WhiteSource

● Une intégration poussée avec les dépôts et registres de binaire des développeurs pour permettre une synchronisation complète au sein du processus d’intégration et de déploiement en continu (CI/CD)

Par son intégration étroite avec JFrog Artifactory et l’intégralité des méta-données qu’Artifactory indexe, JFrog Xray possède un atout unique pour analyser les relations entre artefacts au sein de l’organisation et l’impact de chaque composant sur ses voisins. En plus de scanner les vulnérabilités de sécurité, JFrog Xray peut ainsi analyser l’impact potentiel de soucis de performance d’un composant ou de changements d’architecture logicielle.   “JFrog Xray apporte une réponse à un soucis majeur de nos utilisateurs et de la communauté des développeurs en leur permettant de tout savoir sur chaque composant qu’ils utilisent dans leurs projets de développement – depuis l’assemblage à la distribution et la production”, affirme Shlomi Ben Haim, CEO de JFrog.

“La technologie des conteneurs a révolutionné le marché et la façon dont les équipes déploient les packages logiciels, mais le conteneur reste une ‘boite noire’ qui contient toujours d’autres packages et des dépendances. Les équipes ‘Ops’ ont besoin d’une visibilité totale sur ces conteneurs et d’un outil automatisé pour déceler les changements ayant un impact sur l’environnement de production. Avec JFrog Xray, vous pouvez non seulement scanner les conteneurs, mais également suivre les dépendances pour déceler les vulnérabilités et optimiser votre processus CI/CD.” JFrog Xray est une plate-forme totalement automatisée disposant d’API REST puissantes pour l’intégration avec le pipeline CI/CD de toute organisation. Il permet l’ajout d’autres outils d’inspection et de sécurité au sein du flux de fabrication automatisé des logiciels jusqu’à la production. JFrog Xray intègre la technologie et la base de vulnérabilités VersionEye. VersionEye, une startup basée à Mannheim (Allemagne), fournit un système qui améliore la productivité du développeur en surveillant les bibliothèques open-source et remonte au développeur en temps réel les vulnérabilités de sécurité, violations de licences, ou dépendances obsolètes.

“La technologie VersionEye surveille plus d’un million de projets open source quotidiennement” indique Robert Reiz, CEO et co-fondateur de VersionEye. “L’intégration de la technologie VersionEye avec la plate-forme JFrog apporte une capacité inédite de compréhension de la qualité et la provenance des composants logiciels dont dépend une organisation. JFrog a valorisé son approche universelle de la gestion des composants et bâti un leadership sur la gestion d’artefacts auquel Xray apporte une valeur nouvelle en traitant ce qui est une véritable douleur pour la communauté. Nous sommes très enthousiastes d’avoir intégré une telle solution.”

Cette technologie résout un problème critique pour les entreprises qui utilisent de plus en plus les conteneurs et intègrent l’open-source comme un pilier de leur stratégie de développement logiciel. Avec une telle quantité de composants open-source disponibles aujourd’hui, il est de plus en plus difficile, voire impossible pour les assembleurs d’applications, de rassembler toutes les informations pertinentes sur chacun d’eux et éviter ainsi les problèmes de sécurité. On retiendra l’exemple récent du bug dans Heartbleed la très populaire bibliothèque de cryptographie OpenSSL qui a exposé à un risque les mots de passe de nombreux sites web de premier plan.  Le produit sera largement disponible le 30 juin 2016.