peshkova - Fotolia
DevSecOps : GitHub et JFrog rapprochent leurs outils
JFrog et GitHub, filiale de Microsoft, ont annoncé une série d’intégrations ciblées qui offrent une meilleure visibilité sur la chaîne d’approvisionnement logicielle alors que les entreprises cherchent à consolider et à sécuriser leur écosystème de développement.
Le partenariat est une première pour les deux entreprises. Il s’agit de simplifier les flux de travail entre les deux plateformes – l’une pour gérer le code source et l’autre pour les binaires compilés. Il porte sur l’expérience utilisateur et la traçabilité entre le code source et les binaires, tout en offrant une vision consolidée de la sécurité.
« Ce partenariat se concentre sur la capacité pour les clients d’intégrer les deux solutions de manière plus transparente, en misant sur leurs points forts, afin de créer un meilleur scénario d’ensemble », estime Jim Mercer, analyste chez IDC. « GitHub Actions et la plateforme JFrog ont chacun leurs forces et faiblesses, de sorte qu’ils s’équilibrent l’un l’autre ».
Il ferait également avancer le concept « EveryOps » poussé par JFrog, qui cherche à faire converger et à élargir les disciplines des opérations IT en une pratique universelle.
« Nous constatons un rapprochement entre MLOps, DevOps, DevSecOps, etc., à la fois dans la pratique au sein des organisations et dans l’outillage », observe Katie Norton, analyste chez IDC. « Ces processus réunis dans le même outil sont tout simplement plus efficaces, plus rentables et plus sûrs ».
Plus de liens entre GitHub Actions et JFrog Artifactory
Katie NortonAnalyste, IDC
Les intégrations entre GitHub et JFrog se concentrent sur trois domaines, selon Yoav Landman, cofondateur et directeur technique de JFrog. Le premier est l’expérience utilisateur, avec une fonction d’authentification unique et un mappage entre les dépôts de code GitHub et les projets JFrog, employés pour administrer les ressources et les autorisations des projets.
Le deuxième domaine est la traçabilité, avec l’intégration entre les GitHub Actions et les paquets JFrog pour fournir une navigation bidirectionnelle entre les deux. Un flux de travail dans GitHub Actions compose des binaires qui sont ensuite stockés dans JFrog Artifactory, un gestionnaire de binaires et l’offre phare de l’entreprise. Désormais, les équipes de développeurs peuvent naviguer à partir d’un workflow GitHub Actions en utilisant une liste de paquets créés sous la sortie de la build jusqu’à l’endroit où ils ont été déposés dans JFrog Artifactory et vice-versa, selon Yoav Landman.
La navigation bidirectionnelle s’étend aux paquets de nomenclatures logicielles (SBOM), qui sont entreposés dans JFrog Artifactory sous forme de binaires. D’après Yoav Landman, l’intégration rend la provenance et les dépendances des logiciels plus accessibles aux équipes de développeurs.
« Nous avons toujours eu cette capacité, mais nous l’avons simplifié », avance-t-il. « Elle est regroupée en un seul endroit – vous pouvez donc voir la sortie de vos builds, puis naviguer vers le SBOM dans JFrog, et à partir du SBOM, vous pouvez aller vers le build ».
Le troisième domaine est la sécurité, en donnant aux clients une vue consolidée de JFrog Advanced Security – qui scanne les binaires – et de GitHub Advanced Security, qui scanne le code source.
« Depuis la vue de sécurité de GitHub, vous pouvez voir les résultats de GitHub Advanced Security avec ceux de JFrog Advanced Security, et vous n’avez pas à changer de contexte entre les différentes vues », explique Yoav Landman.
En septembre, lors de sa conférence annuelle, JFrog présentera une autre intégration, cette fois avec GitHub Copilot. Chez GitHub, c’est un assistant de génération de code, mais chez JFrog, le service fonctionnera davantage comme un guide pour naviguer dans le catalogue de binaires de l’entreprise, comprenant les versions binaires et les métadonnées associées.
« Vous pourrez consulter GitHub Copilot […] afin de choisir les meilleurs paquets et d’obtenir des informations à leur sujet », y compris des alternatives potentielles, promet Yoav Landman.
Rester pertinent face à la consolidation des chaînes d’outils
Dans l’ensemble, les clients ont été à l’origine de nombreuses intégrations dévoilées dans le cadre de ce nouveau partenariat, et les départements d’ingénierie des solutions des deux entreprises ont également constaté l’intérêt des clients, compte tenu de leur travail sur des projets conjoints, selon le CTO de JFrog.
« En fin de compte, c’est ce que font déjà les clients », reconnaît-il. « Il s’agit d’un sceau d’approbation, qui rend l’ensemble de l’expérience beaucoup plus facile et fluide à l’usage ».
Katie Norton, d’IDC, décrit ce partenariat comme une avancée vers une expérience de « plateforme unique » qui réduit le changement de contexte et pourrait abaisser la courbe de difficulté inhérente à la sécurisation de la chaîne d’approvisionnement.
« Ces capacités pourraient vraiment aider les organisations qui luttent afin de sécuriser leurs chaînes d’approvisionnement logicielles, et devraient simplifier l’adoption de pratiques telles que l’attestation et la provenance », déclare-t-elle.
Elle note par ailleurs que des éditeurs comme GitHub et JFrog devront être en mesure de fournir une « expérience sans friction », alors qu’elles cherchent à promouvoir les concepts d’EveryOps ou de XOps, en particulier compte tenu des progrès de l’IA dans le développement de logiciels et de sa portée au-delà des développeurs dans l’entreprise.
« Les applications pilotées par l’IA sont alimentées par des modèles qui doivent être sécurisés, gérés, suivis et déployés dans le cadre de projets logiciels de qualité », rappelle Katie Norton. « Cependant, pour de nombreuses organisations, le développement de modèles est un exercice relativement nouveau, souvent isolé et manquant de transparence et d’intégration avec des pratiques de développement logiciel plus larges et mieux établies. »
De plus, le marché n’en est peut-être qu’au début de cette ère des plateformes. David Vance, analyste chez Enterprise Strategy Group, une filiale de Techtarget (également propriétaire du MagIT), souligne que ce partenariat « montre que l’écosystème des développeurs est encore très fragmenté, avec de nombreux éditeurs et des alternatives open source offrant des fonctionnalités DevOps et de sécurité variées ».
Cette association pourrait aussi aider JFrog et GitHub à rester compétitifs sur un marché DevOps de plus en plus bruyant.
« Les organisations cherchent des opportunités pour normaliser leurs portefeuilles DevOps, ce qui crée une situation très concurrentielle entre les principaux acteurs du marché », renchérit Jim Mercer d’IDC. « Cela rend [GitHub et JFrog] un peu plus solides dans les environnements où leurs outils sont déployés et leur permet de démontrer une valeur accrue aux prospects ou dans des situations concurrentielles, face à des plateformes telles que GitLab ou des concurrents de dépôts de binaires tels que Sonatype et Cloudsmith ».