소프트웨어 개발 생태계에서 보안과 효율성은 경쟁력의 핵심입니다. JFrog과 GitHub의 파트너십은 이러한 요구를 충족시키기 위해 지속적으로 발전하고 있습니다. 기업이 보다 안전하고 신뢰할 수 있는 소프트웨어를 빠르게 배포할 수 있도록 혁신적인 솔루션을 제공합니다.
GitHub Universe에서 발표된 두 가지 새로운 업데이트는 두 플랫폼 간의 통합을 더욱 강화했습니다. 이제 JFrog 플랫폼은 GitHub Advanced Security와 원활하게 연동되어 JFrog SAST가 탐지한 취약점을 GitHub Copilot Autofix가 자동으로 해결할 수 있도록 지원합니다. 또한 JFrog Runtime Security의 보안 결과가 GitHub Actions 내 JFrog Job Summary 페이지에 추가됨으로써 배포 무결성과 런타임 취약점 관리를 한눈에 확인할 수 있는 뛰어난 가시성을 제공합니다.
이번 통합으로 소스 코드와 바이너리 간의 직관적인 탐색과 추적, GitHub Actions와 JFrog Artifactory를 활용한 CI/CD 프로세스, 소프트웨어 공급망 전반에 걸친 보안 결과를 확인할 수 있는 통합된 View가 제공됩니다. 이러한 기능은 개발자들에게 소프트웨어 공급망 전반에 대한 완전한 가시성과 제어를 제공하여 더 간단하고 효율적인 워크플로우를 가능하게 하는 것을 목표로 합니다.
개발 워크플로우의 주요 개선 사항:
1. GitHub의 향상된 Job Summary 페이지
빌드 실패는 개발자, 보안 팀, 파이프라인 엔지니어, DevOps 팀 등 조직 내 다양한 팀에 영향을 미칠 수 있습니다. 기존 방식으로 문제를 진단하려면 로그를 수동으로 탐색해야 했지만, GirHub와 JFrog의 통합 은 빌드 프로세스에 대한 통합된 뷰를 제공하여 명확성, 제어, 보안을 크게 향상시킵니다.
JFrog Job Summary는 GitHub Actions와의 JFrog의 통합 을 통해 빌드 프로세스에 대한 심층적인 메타데이터와 실시간 분석을 제공합니다. 주요 기능으로는 아티팩트와 패키지의 자동 연결, 빌드 정보와 Xray 기반 보안 검사 요약, 그리고 정책 위반 패키지에 대한 큐레이션 감사가 포함됩니다.
작업 요약은 빌드 실행이 완료되면 자동으로 생성되며, 빌드와 보안 정보가 포함됩니다. 이 정보는 GitHub와 JFrog 플랫폼 간에 원활하게 이동할 수 있어, 프로젝트 패키지 링크를 클릭하면 아티팩트와 보안 검사에 대한 세부 정보를 바로 확인할 수 있습니다. 이는 개발자가 빌드 품질을 개선하고, 보안 팀이 취약점 및 규정 준수를 실시간으로 관리할 수 있도록 지원합니다. 또한 양방향 링크를 통해 빌드 환경과 아티팩트 간의 관계를 명확히 할 수 있어, DevOps 파이프라인의 효율성과 투명성을 크게 증대시킵니다.
2. OIDC 통합
OpenID Connect(OIDC) 통합은 JFrog 플랫폼과 GitHub Workflows 간의 신뢰 관계를 설정하고, 작업 실행 시 GitHub OIDC 공급자가 생성하는 토큰을 활용해 인증을 자동화합니다. JFrog는 해당 토큰의 신뢰성을 검증한 후, 설정된 조건에 따라 단기 액세스 토큰을 발급합니다. 이를 통해 비밀번호 없는 인증 환경을 구축하고, 민감 데이터 유출 위험을 최소화합니다. 동적으로 생성되는 단기 토큰은 오래된 자격 증명이 남아있는 보안 취약점을 제거하며, 개발자는 수동 인증 절차 없이 효율적인 워크플로를 경험할 수 있습니다. 이 통합은 일관된 액세스 제어 정책을 적용해 최소 권한 원칙을 준수하면서도 사용자 친화적이고 안전한 DevOps 환경을 제공합니다.
3. GitHub에서 통합된 보안 결과 확인
이 통합의 주요 장점 중 하나는 GitHub Advanced Security 대시보드의 Code Scanning 섹션에서 보안 스캔 결과를 직접 확인할 수 있다는 점입니다. JFrog CLI는 JFrog에서 생성된 스캔 결과를 관련된 GitHub 리포지토리의 보안 센터로 전송하여, 워크플로우를 간소화하고 도구 간 전환을 줄여줍니다. GitHub Actions에 JFrog가 게시하는 보안 분석 결과는 다음을 포함합니다:
- 소프트웨어 구성 분석 (SCA)
- 코드 컨텍스트 분석(CVE 적용 여부 확인)
- 취약점 탐지(소스 코드 및 바이너리 모두에서)
- 정적 애플리케이션 보안 테스트 (SAST)
- 코드형 인프라(IaC) 보안 검사
4. Copilot 확장 통합
JFrog GitHub Copilot 확장은 JFrog 플랫폼과 GitHub Copilot을 통합하여 개발자들에게 AI 기반의 보안, 종속성 관리, 그리고 최적화된 오픈소스 활용을 지원합니다. 이 확장은 GitHub Copilot의 AI 모델과 JFrog의 아티팩트 관리 전문성을 결합하여 보안 및 종속성 관리에 있어 더 빠르고 정교한 의사 결정을 가능하게 합니다. 예를 들어 개발자는 “이 프로젝트가 CVE-123-1231의 영향을 받습니까?”와 같은 보안 관련 질문을 하거나, 특정 패키지 및 라이선스 정책에 따른 최적의 선택지를 실시간으로 추천받을 수 있습니다. 결과적으로 개발자와 조직은 효율성 향상, 리스크 감소, 보안 최적화를 동시에 달성하며, 현대 DevOps 환경에 필수적인 생산성을 확보할 수 있습니다.
GitHub Copilot Autofix + JFrog: 개발자를 위한 완벽한 보안 솔루션
새로운 릴리스를 위해 최첨단 기능을 개발하려면, 더 나은 코드를 더 빠르게 작성하고 디버깅하며 동시에 보안을 유지하는 것이 필수적입니다. 이를 위해 GitHub Copilot과 같은 AI 어시스턴트는 생산성을 극대화하는 핵심 도구로 자리 잡고 있으며, 특히 Copilot Autofix와 같은 최첨단 솔루션에 대한 수요를 더욱 확대하고 있습니다.
JFrog의 SAST 기능은 GitHub Copilot Autofix와 통합되어 보안 문제를 개발 워크플로 안에서 바로 해결할 수 있도록 합니다. 이 통합을 통해 개발자는 여러 프로그래밍 언어에서 발생하는 문제를 몇 번의 클릭만으로 해결할 수 있습니다. 또한 풀 리퀘스트 내 문제 코드를 탐지하여 취약점을 표시하고, Copilot Autofix가 이를 기반으로 특정 수정 제안을 생성함으로서 개발자는 필요한 코드 변경 사항을 명확히 파악할 수 있습니다.
JFrog 런타임 보안: 실시간 프로덕션 인사이트
런타임 동안 애플리케이션의 보안을 유지하는 일은 쉽지 않으며, 조직은 런타임 취약점을 실시간으로 모니터링하고 관리하며 배포 무결성을 효과적으로 유지하는데 어려움을 겪을 수 있습니다. 핵심 목표는 취약점을 신속히 발견하고 수정하여 비즈니스 영향을 최소화하고, 모든 런타임 구성 요소를 정확히 추적하는 것입니다.
해당 런타임 보안은 프로덕션 환경에서 애플리케이션을 보호하는 데 필수적이며, 이 환경에서는 가장 심각하고 복잡한 위협이 자주 발생합니다. JFrog Runtime Security는 Kubernetes 환경을 위한 실시간 모니터링 솔루션으로, 애플리케이션 실행 중 발생하는 보안 문제를 보호하고 주요 보안 과제를 해결합니다.
JFrog의 통합 을 통해 실시간 프로덕션 모니터링 데이터를 GitHub 워크플로와 직접 연결할 수 있습니다. GitHub Actions에서 빌드가 완료되면, JFrog Job Summary 페이지에 JFrog Runtime Live Evaluation 대시보드 링크가 자동으로 추가됩니다. 그러면 해당 작업에 포함된 특정 구성 요소를 기반으로 필터링된 “런타임 모니터링” 섹션이 생성됩니다. 개발자와 보안 팀은 클릭 한 번으로 GitHub 워크플로에서 빌드 및 배포의 무결성과 계보를 상세히 확인할 수 있는 View로 즉시 이동할 수 있습니다.
GitHub와 JFrog의 통합 기능을 확인해 보세요!
