Industrie Mag - Le journal de l'industrie.

JFrog Ltd (Nasdaq : FROG), the Liquid Software company et la créatrice de la plateforme primée JFrog Software Supply Chain, annonce aujourd’hui son premier ensemble de partenaires de l’« Evidence Ecosystem » intégrés à JFrog AppTrust. Les clients peuvent désormais constituer collectivement une piste d’audit centralisée et fiable, alimentée par des attestations claires couvrant l’ensemble du cycle de développement logiciel (SDLC), afin d’accroître la visibilité, d’éliminer les risques et de garantir la préparation des versions — renforçant ainsi la confiance à chaque livraison.

« Pour rendre possible la révolution de l’IA agentique dans la livraison logicielle où chaque agent exigera une preuve avant toute mise en production, les organisations ont besoin d’une source de vérité unique, claire et auditable sur leur processus de livraison. Avec nos partenaires, nous proposons une solution DevGovOps de confiance pour collecter des preuves cryptographiquement vérifiables et appliquer des politiques de conformité. En vérifiant ces politiques sur l’ensemble de la chaîne d’approvisionnement logicielle, les organisations peuvent, à l’ère de l’IA agentique, livrer en toute confiance des applications fiables, conformes et sécurisées », déclare Gal Marder, Chief Strategy Officer, JFrog.

Les CISO et responsables DevSecOps sont soumis à une forte pression pour répondre à des exigences élevées, réglementaires comme internes, en matière de sécurité, dans un contexte d’accélération de la livraison logicielle. Dans un monde où l’IA s’intensifie, l’automatisation de la GRC (Gouvernance, Risques, Conformité) deviendra plus exigeante, ajoutant de la complexité pour les équipes de livraison. La non-conformité met en péril la confiance des clients dans les logiciels livrés et expose à des amendes, des atteintes à la réputation et des risques juridiques. S’appuyer sur des solutions « maison » et des processus manuels pour la traçabilité logicielle n’est pas tenable, est facilement contestable et gaspille un temps précieux de développeur. Evidence Collection au sein de la plateforme JFrog génère une piste d’audit complète qui aide les clients à :

 Assurer la préparation des versions : collecter facilement des preuves du parcours suivi par le logiciel jusqu’à sa maturité pour la mise en production, en couvrant l’ensemble des tests, validations, environnements et actions effectués sur tout le SDLC (software development lifecycle).

 Maintenir une source de vérité unique : pour les données d’attestation signées cryptographiquement, rattachées à vos artefacts de release, garantissant l’immutabilité et faisant gagner du temps aux équipes et aux auditeurs en évitant des recherches dans de multiples systèmes.

 Simplifier l’audit et le suivi de la conformité en collectant des preuves tout au long du cycle de vie de chaque application, facilitant et accélérant les décisions de mise en production.

 Automatiser la collecte des preuves à travers plusieurs outils, équipes et sites, réduisant la complexité.

Pour enrichir ses capacités de collecte de preuves, JFrog s’associe à une douzaine d’acteurs logiciels majeurs pour créer des intégrations de preuves prêtes à l’emploi. Celles-ci permettent aux organisations de consolider les données de processus du SDLC dans une source unique de vérité, cruciale pour les efforts de GRC à une époque de risques de sécurité croissants et de contrôle réglementaire accru. Le groupe initial de partenaires de l’« Evidence Ecosystem » de JFrog collectera et partagera des attestations logicielles clés, telles que :

 GitHub Actions : les attestations de compilation seront converties en JFrog Evidence et conservées sans limite de temps, associées à chaque artefact logiciel, afin de permettre la vérification de la conformité et la mise en œuvre des règles.

 ServiceNow : partagera ses demandes de changement, validations et exceptions de vulnérabilité en tant que preuves signées dans JFrog AppTrust.

 Sonar : son produit phare SonarQube produira et partagera, via JFrog Evidence, des rapports signés sur la qualité et la sécurité du code, ainsi que des attestations de couverture.

 Akuity : fournira des attestations de déploiement signées via sa plateforme Kargo, en s’appuyant sur des preuves existantes pour confirmer que les applications ont franchi les jalons de validation et les environnements de déploiement requis avant la mise en production.

 Akto : générera des preuves contenant des constats de sécurité sur l’OWASP Top 10 et la validation de la conformité, créant une preuve vérifiable que des tests de sécurité API complets ont été effectués avant la release.

 CoGuard : joindra aux packages dans JFrog des résultats signés d’analyses de sécurité de la configuration, couvrant l’Infrastructure as Code (IaC), les applications et les systèmes d’exploitation, aux artefacts logiciels, en tant que preuves vérifiables que les normes de sécurité ont été respectées avant le déploiement.

 Dagger : fournira des attestations d’exécution signées depuis Dagger Cloud pour les exécutions locales et CI, créant une preuve vérifiable des processus de compilation et de test avec des liens directs vers les traces d’exécution.

 Gradle : fournira des attestations de compilation signées depuis sa plateforme Develocity Provenance Governor au format JFrog Evidence, couvrant les métadonnées de compilation, l’exposition aux dépendances et des indicateurs de performance, afin d’établir une chaîne de traçabilité des artefacts binaires et d’assurer des déploiements rapides et fiables.

 NightVision : réalisera la découverte d’API à partir du code source et des analyses DAST authentifiées en mode « boîte grise » (grey-box), à grande vitesse, et joindra des résultats signés aux images afin d’apporter la preuve des vulnérabilités, de valider leur exploitabilité avec des informations au niveau du code, et de fournir des recommandations de remédiation avant la mise en production.

 Shipyard : fournira des attestations signées pour des environnements éphémères, consignant les validations agentiques et humaines ainsi que les résultats de tests, attestant de manière vérifiable que des tests de bout en bout, réplicables, ont été effectués avant la mise en production.

 Troj.ai : réalisera des exercices automatisés de security red teaming pour les modèles d’IA stockés dans JFrog et joindra des résultats signés en tant que preuve vérifiable qu’un test comportemental complet des modèles d’IA a été mené avant le déploiement.

« À mesure que l’IA accélère le développement logiciel, les développeurs et leurs organisations peinent à garantir les plus hauts niveaux de qualité et de sécurité du code. Le partenariat de Sonar avec JFrog répond à ce défi en intégrant l’analyse de code de référence de SonarQube à JFrog Evidence, permettant une vérification formellement validée de l’ensemble du code, qu’il soit généré par l’IA ou écrit par des développeurs. Ensemble, nous aidons les organisations à produire des logiciels de haute qualité et conformes, tout en tirant pleinement parti de la vitesse du développement piloté par l’IA. » affirme Tariq Shaukat, CEO de Sonar.