大手ソフトウェア企業であるJFrog(ジェイフロッグ)は、エビデンス収集機能の大幅な進化を発表した。これは、ソフトウェアサプライチェーンの複雑化と、GRC(ガバナンス、リスク、コンプライアンス)イニシアチブの重要性の高まりに対応したものだ。ソフトウェアおよびAIに関する新たな規制が出現する中、企業はコンプライアンスを実証しなければ、財務的および法的影響に直面する可能性が高まるというプレッシャーにさらされている。
ソフトウェア開発ライフサイクル(SDLC)の監査証跡は、多くの場合、さまざまなチーム、ツール、プロセスに分散しており、SDLCの証拠収集は困難で手作業を要する作業となっている。この問題に対処するため、JFrogは今年初めにサードパーティー製のEvidence Collectionをリリースした。この機能により、チームはSDLC全体の重要なアクションをキャプチャーし、JFrog Platformに保存できる。これにより、各証拠が関連するバイナリーに確実に関連付けられるため、監査プロセスが簡素化される。
このプロセスをさらに効率化するため、JFrogはSDLC全体にわたる業界をリードするベンダーと提携した。この提携により、リリースに対してこれらのツールが実行したアクションの証明をネイティブに取り込むことが可能になる。その結果、チームは煩雑な手動設定を必要とせずにアテステーションの収集を自動化し、DevGovOpsを効率化できる。
JFrogは、Evidence Collectionへの最初の12のネイティブエコシステム統合をリリースした。ユーザーのニーズと要望に基づいてライブラリーを拡張していく予定だ。これらの統合には、Akto、Akuity、CoGuard、Dagger、GitHub、Gradle、NightVision、OCI、ServiceNow、Shipyard、Sonar、Troj.aiといった主要テクノロジーが含まれる。これらの統合により、チームはアテステーションの収集を自動化し、コンプライアンスと監査のニーズを合理化し、リリース前にソフトウェアが品質基準を満たしていることを確認できる。
初期パートナーの中に好みのツールが見つからない方のために、JFrogはすぐに導入できるリファレンスデザインも提供している。これらのデザインはEvidence Collection GitHubリポジトリーで公開されており、アテステーションの仕組みを基本的に理解するだけでワークフローに統合できる。
このエビデンスコレクションの機能強化により、チームはJFrogをSDLC証明の単一ソースとして利用し、統一された不変かつ検証可能な記録システムとして利用できるようになる。エンタープライズバイナリーリポジトリーであるJFrogは、検証エビデンスが検証対象のアーティファクトと常にペアになっていることを保証する。これにより、異なるシステムに保存されている際に証明が役に立たなくなるような、データの断絶を回避できる。JFrogに全てのJFrogエビデンスを収集することで、企業はJFrog AppTrustを使ってアプリケーションリスクガバナンスを自動化し、エビデンスに基づくポリシーを設定・適用することで、最適なDevGovOpsを実現できる。
JFrogユーザーは、Evidence Collectionと組み込みの統合機能を今すぐ利用できる。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
