JFrog(ジェイフロッグ)は、新機能Package Traffic Controllerをリリースした。この機能は、開発者やAIツールの作業を妨げることなく、社内への未審査なパッケージの流入であるシャドーダウンロードをネットワークの境界で自動的に防ぐシステムだ。
従来のセキュリティー対策では、危険なパッケージのダウンロードを単にブロックして開発をストップさせてしまうか、あるいは設定を無視して外部から直接ダウンロードされてしまうという課題があった。今回の新機能は、Zscaler ZiaなどのSASEインフラと連携し、外部の公開レジストリーへ向かうパッケージのダウンロード要求をネットワーク層で自動的に検知する。
検知されたリクエストは単に遮断されるのではなく、裏側でスマートにJFrog Artifactoryへと透過的に迂回させられる。迂回されたパッケージはJFrog Curationによってセキュリティーやライセンスのポリシーに適合しているかが検証され、安全であればそのまま開発者に届き、危険な場合は安全なバージョンに差し替えられる仕組みだ。
これにより、自律型のAIコーディングエージェントなどが環境設定を無視して裏で勝手に外部から依存関係をダウンロードしてしまうような、これまでのツールでは追えなかったリスクも完全にカバーできるようになる。さらに、開発者側のPCや端末で設定ファイルを書き換えるなどの手間が一切不要なため、開発の手を止めることなく全社に一元的なセキュリティーを強制できるのが大きなメリットだ。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
