DevSecOps パイプラインには多くの場合、ギャップがあります。ソースコードのセキュリティとバイナリのセキュリティが別々のサイロで扱われているため、見落としが生じ、チームのスピードが落ち、リスクも高まってしまうのです。
SwampUP 2025 では、JFrog と GitHub の次世代統合機能を発表しました。これはコードとバイナリ、両方のプラットフォームを深く統合した DevSecOps 体験を実現するもので、ソースとバイナリのスキャンを同じワークフローとダッシュボードで実行でき、余分なツールやコンテキストの切り替えなしに、真のエンドツーエンドのセキュリティ可視化を提供します。
コードを書き始める瞬間から実行時まで、この統合はソフトウェア サプライ チェーン全体にわたり、統合されたセキュリティ、可視性、AI インテリジェンス、エージェントによる自動修復、そしてコンプライアンスを提供します。
JFrog × GitHub 統合の新機能
今回のアップデートは、開発者が高速に動き続けられるように、摩擦をなくし、自動化を進め、スケーラビリティを高めることを重視しています。その一方で、セキュリティやコンプライアンス チームには必要な情報をすべて提供します。新リリースでは特に「自動化」「統合」「インテリジェンス」の 3 つのテーマに重点を置きました。
主なリリース ハイライト
- シンプルなセットアップ: 一度の自動インストールで GitHub と JFrog リソースを安全に接続。組織単位でのセットアップが可能。
- Frogbot の一括導入: 複数リポジトリに一括インストールし、脆弱性/シークレット/ライセンス コンプライアンスを自動スキャン。
- 統合されたセキュリティ結果: JFrog Advanced Security のバイナリ スキャン結果を GitHub Code Security ダッシュボードに直接反映し、ソースとバイナリの脆弱性を一元的に確認可能。
- 包括的な SBOM: GitHub のソース SBOM と JFrog のバイナリ SBOM を GitHub Dependency Graph 内で統合し、正確なエンドツーエンドの SBOM を提供。
- エージェント型コーディング: GitHub Copilot が JFrog MCP サーバーを介して JFrog のパッケージおよびセキュリティ知識にアクセスし、コードの脆弱性を自動修正。
- Dependabot アラートの効率化: 本番環境依存関係のインテリジェンスを Dependabot に取り込み、本番に関連するアラートだけを提示。
ハイライトの詳細
JFrog App for GitHub によるシームレスな自動セットアップ
今回の新機能のひとつである JFrog App for GitHub は、GitHub リポジトリを JFrog プラットフォームに自動的かつ組織全体で接続します。これにより、リポジトリごとに手作業で設定する必要がなくなり、JFrog Frogbot の大規模な導入と利用が簡単に自動化されます。
OpenID Connect (OIDC) による安全な認証と認可を活用することで、JFrog App for GitHub は組織内のすべてのリポジトリとの統合を自動化し、繰り返しの手作業を不要にします。
ソースコードとバイナリの自動スキャンを大規模に実現
JFrog Frogbot を複数のリポジトリへワンステップで導入し、脆弱性、シークレット、ライセンス コンプライアンスを自動的にスキャンできます。Frogbot を数分で全リポジトリに展開すれば、次のような対象を自動でスキャン可能です。
- 自社開発コードおよびオープンソース ソフトウェア (OSS)
- シークレットやライセンス コンプライアンスの問題
- 自動修復 (CVE 問題に対する修正プルリクエストを自動作成/コメント追加)
セキュリティの一元的な可視化
JFrog App for GitHub をインストールすると、JFrog Advanced Security のバイナリ スキャン結果を GitHub の Code Security タブに直接反映できます。これにより、ソースコードとバイナリ両方の脆弱性を一元的に確認可能です。
GitHub のネイティブなダッシュボードからすべてのスキャン結果にアクセスできるため、ツールを切り替えることなく、迅速にトリアージと修復対応を行えます。
包括的な SBOM
JFrog App for GitHub をインストールすると、GitHub のソースコード SBOM と JFrog のバイナリ SBOM を GitHub Dependency Graph 内で統合できます。これにより、正確かつエンドツーエンドのソフトウェア部品表 (SBOM) が実現します。
ソースとバイナリの両方を反映した包括的な SBOM によって、ソフトウェアのビルドやリリースを正しく表現し、セキュリティの可視性をさらに拡張できます。
AI 活用によるセキュア コーディング
GitHub Copilot は JFrog のリモート MCP サーバーを通じて、JFrog のコード スキャンや OSS パッケージのセキュリティ知識にアクセスできるようになりました。これにより、AI が生成するコードをリアルタイムでコンプライアンス対応済みかつセキュアで、すぐにデプロイ可能な状態に保てます。
JFrog の信頼性あるプラットフォームと Copilot の AI 自動化を組み合わせることで、開発チームは「事後的なセキュリティ対応」から「先回りした能動的なソフトウェア サプライチェーン セキュリティ」へと移行できます。安全なパッケージの選定、CVE の修正、自信を持ったコーディングを実現します。
証跡によるコンプライアンス
GitHub のアテステーションを JFrog のアーティファクト管理と統合し、証拠に基づいたポリシー駆動型のプロモーションやデプロイを実現します。
GitHub のアテステーションを「証跡の単一の信頼できる情報源」として統合することで、監査やガバナンスを効率化できます。JFrog Evidence は、JFrog のデータだけでなく、複数のサードパーティ ツールからのアテステーションや証跡もサポートしています。
あらゆるチームにメリットを
強化された JFrog と GitHub の連携は、開発から運用、セキュリティまで幅広いチームに価値をもたらし、組織全体の最大化につながります。
開発者向け
- GitHub 内でワークフローを完結
- コーディング中にリアルタイムでパッケージレベルのセキュリティ洞察を取得
- Copilot によるセキュリティ/コンプライアンス方針に沿った支援
- コンテキスト切り替えを減らし、開発スピードを加速
DevOps & プラットフォームチーム向け
- 数千のリポジトリへ即座にスケール可能な統合
- 手作業なしで CI/CD とセキュリティのオンボーディングを自動化
セキュリティ & コンプライアンス チーム向け
- ソースコードとバイナリの脆弱性データを一元化
- 本番環境に影響する課題を優先表示し、不要なアラートを削減
- 各リリースごとに完全で検証可能な SBOM を維持
機能ハイライトと提供価値
| 機能 | 提供価値 |
|---|---|
| GitHub App (自動 OIDC 接続、Frogbot 統合、リポジトリのバイナリスキャン) | GitHub リポジトリ/組織全体でのシンプル、自動、スケーラブルな統合 |
| GitHub Dependency Graph での統合 SBOM | ソースとバイナリ両方のコンポーネントを完全に可視化 |
| アテステーションからエビデンスへの変換 | 監査やポリシー適用の効率化 |
| Dependabot のノイズ削減 | 本当に重要な脆弱性だけに集中 |
| エージェント型自動修復 (JFrog Catalog + Curation、JFrog SAST × Copilot via MCP) | AI 支援による修復で、安全なコード/パッケージ選択を実現 |
今すぐ利用可能
JFrog GitHub App は GitHub Marketplace から入手できます。インストール後、手順に従って GitHub と JFrog を接続すれば、次のことがすぐに実現します。
- JFrog & GitHub プラットフォームの接続を自動化
- Frogbot を数分で全リポジトリに展開
- ソース+バイナリ SBOM を統合
- GitHub Code Security ダッシュボードで脆弱性を一元表示
- Copilot による AI 支援のセキュア コーディングを有効化
JFrog に関するご質問は、日本正規代理店であるエクセルソフトまでお問い合わせください。
記事参照: JFrog and GitHub: Next-Level DevSecOps
世界の人気ソフトウェアを提供するエクセルソフトのメールニュース登録はこちらから。
