GitHub と JFrog の連携で安全かつ効率的な開発の実現

効率的なソフトウェア開発へのハードル

ビルドが失敗した際その原因をすぐに突き止めるのは難しく、膨大な手作業が必要になる場合があります。エラー メッセージやビルド ジョブのサマリーおよび構成を確認し、テストをデバッグし、ビルド コンテキストを詳しく調べなければいけません。また、問題の原因となっている依存関係がどこから来たのか、そのバージョンは何か、脆弱性のない新しいバージョンがあるかどうか、などを把握する必要があります。これらの調査には体力面だけでなく精神面にも負担がかかり、多大な労力と時間を要します。

一般的なソフトウェア ビルドのプロセス

残念ながらビルドの失敗はよくあることです。そこで、よく見られる問題の原因や状況を理解するために、一般的なソフトウェア ビルドのプロセスを見てみましょう。IDE でコードを書き、GitHub にコミットし、JFrog Artifactory などのリポジトリにプッシュし、CI/CD パイプラインを通じてビルドを実行します。この過程では、ソース コードおよびバイナリの制御と可視性を高めることで、開発を大幅に加速できるポイントが数多くあります。しかし、次のような障害によって妨げられる場合もよくあります。

  • メンバー間の共同作業を妨げ、作業の流れを途切れさせる原因となる、分断されたツールやプロセス
  • 人為的ミスのリスクを高め、デバッグの速度を制限する手動のプロセス
  • SDLC 全体のセキュリティ脆弱性と、それを修正するために必要な修復手順の可視性の制限

これらの障害は、ワークフローを合理化してソフトウェアをリリースしようとする開発者に大きな負担をかけます。

ソフトウェア開発の合理化

これらの課題を解決するのが、GitHub と JFrog の統合です。JFrog の成果物管理およびセキュリティ スキャン機能と、GitHub のバージョン管理および共同作業機能を連携して、ワークフローの合理化や DevSecOps プラクティスの強化で、運用効率を高めます。

この統合には、以下が含まれています。

  • ソース コードとバイナリ間の直感的なナビゲーションとトレーサビリティ
  • GitHub Actions と JFrog Artifactory を使用した CI/CD
  • ソフトウェア サプライ チェーン全体のセキュリティ検出結果の統合ビュー

JFrog と GitHub 目標は、ソフトウェア サプライ チェーン全体にわたって完全な制御と可視性を提供し、開発者の作業をより簡単かつ効率的にすることです。

この強力な組み合わせにより、開発ワークフローにいくつかの重要な改善をもたらします。

1. GitHub の新しいジョブ サマリー ページ

JFrog と GitHub の連携により、GitHub に新しいジョブ サマリー ページが追加され、ビルドの結果とセキュリティ スキャンの結果が表示されます。これにより、プロジェクトの健全性とセキュリティ ステータスを一目で確認できます。

GitHub の JFrog ジョブ サマリー ページ

2. OIDC 統合

OpenID Connect (OIDC) 統合により、GitHub と JFrog プラットフォーム間で、安全な情報のやり取りを行えます。この統合で、ID 確認のためのトークン管理が自動化され、手動でトークンを作成するこ必要なく GitHub Actions から JFrog リソースにシームレスにアクセスできるようになります。これによりセキュリティが向上します。また、認証時に細かく制御された短期間有効なトークンを自動生成することで、セキュリティをさらに強化します。

手動でのトークンの処理や管理が必要なくなるため、開発者エクスペリエンスがさらに向上します。また、GitHub の個人 ID に基づいて、JFrog プラットフォームで Actions を実行するユーザーを詳細に示すことで、ユーザーを追跡することができます。

3. GitHub でのセキュリティに関する統一された調査結果

この統合の最も強力な機能の 1 つは、GitHub Advanced Security ダッシュボードのコード スキャン セクションにおけるセキュリティ スキャンの結果を表示です。JFrog CLI がスキャン結果を GitHub のセキュリティ センターにアップロードすることで、開発者が異なるツールを使い分ける手間を省きます。GitHub Actions で公開された JFrog によるセキュリティ分析には、次の内容が含まれます。

  • ソフトウェア構成分析 (SCA)
  • コンテキスト分析(CVE の適用可能性を判断)
  • シークレット検出(ソースコードとバイナリ)
  • 静的アプリケーション セキュリティ テスト (SAST)
  • Infrastructure as Code (IaC) セキュリティ チェック

このセキュリティ情報は簡単に入手でき、セキュリティ分析と修復のプロセスを高速化し、最終的には信頼できるビルドの作成を迅速化します。

GitHub セキュリティ センターの JFrog スキャン結果

これらのセキュリティ調査結果を GitHub に統合することで、開発サイクルの早い段階で潜在的な脆弱性に対処し、時間の節約だけでなくリスクを軽減できます。さらに、JFrog のリサーチ チームによる高度なセキュリティ研究を活用した JFrog Advanced Security を GitHub ワークフロー エクスペリエンスに組み込むことで、CVE がアプリケーションに関連しているかどうかを示し、脆弱性の対処時間削減にも繋がります。

4. Copilot 拡張機能の統合

Copilot 拡張機能は、GitHub の AI アシスタント機能を強化し、特にバイナリ、依存関係、セキュリティに関するタスクをより効果的にサポートします。この拡張機能は組織特有の情報を理解し、「CVE-123-1231 の影響を受けますか」や「パッケージ X をバージョン Y で使用できますか」といった質問にも回答します。さらに、組織のポリシーに沿った洞察も提供し、パッケージの種類、キュレーション、ライセンスなどについて情報に基づいた決定を迅速に下せるよう支援します。

Copilot のコード生成機能と JFrog のアーティファクト エコシステムに関する専門知識の組み合わせにより、この拡張機能は開発プロセスにとって非常に貴重な AI 搭載アシスタントになるでしょう。

開発を効率化

GitHub と JFrog の統合により、開発プロセス全体の可視性と制御が拡張され、すべてのステップで信頼性と効率性が向上します。Copilot 拡張機能を通じて強化されたトレーサビリティ、自動化されたセキュリティ チェック、AI を活用した洞察の提供により、ソフトウェアのビルドに集中できるようになります。


世界中の優れたソフトウェアを提供するエクセルソフトは GitHub と JFrog の正規代理店として、以下の製品の購入前から導入まで、日本語でサポートしています。

GitHub Enterprise

GitHub.com の機能に加えて、企業向けのセキュリティ、アクセス制御、コンプライアンス機能を提供する自己ホスト型コード管理プラットフォームです。セキュリティを確保できるだけでなく、コラボレーションの促進やコード レビュー、ブランチ保護、依存関係スキャンなどの機能を使用して、開発者の生産性を向上します。

JFrog Platform

エッジ コンピューティング環境向けのソフトウェア アップデートをビルド、配信、自動化する機能を提供する、DevOps、セキュリティ、MLOps のためのユニバーサル ソフトウェア サプライ チェーン プラットフォームです。Docker や Hugging Face、GitHub など、50 以上の人気のプラットフォームとの統合も可能です。

両プラットフォームにおいて、無料体験版の提供がございます。ぜひ、お試しください。GitHub および JFrog に関するお問い合わせはエクセルソフトまで

記事参照: Streamlining Secure, Intelligent Development: The Power of GitHub and JFrog Together

世界の人気ソフトウェアを提供するエクセルソフトのメールニュース登録はこちらから。

タイトルとURLをコピーしました