JFrog与GitHub携手打造业界最佳平台，实现软件供应链管理与安全的统一

在客户和业界共同需求的推动下，JFrog和GitHub制定了统一的发展路线图，旨在强化DevOps、DevSecOps、MLOps和AI实践的整体效能

2024年6月4日——流式软件公司、JFrog软件供应链平台的缔造者JFrog（纳斯达克股票代码：FROG）与全球领先的AI驱动型开发者平台GitHub，近期宣布达成一项新的合作伙伴关系，以提供最佳的整合平台解决方案，助力双方的共同客户全面管理开发者的“EveryOps”，包括DevOps、DevSecOps、MLOps和生成式AI驱动型应用程序。

开发团队必须同时管理源代码和二进制文件，因此JFrog和GitHub之间的双向集成可谓是天作之合。双方共同制定的发展路线图聚焦于源代码和二进制文件之间的无缝导航和可追溯性、GitHub Actions和JFrog Artifactory的持续集成和部署，以及统一的安全检测结果视图，以便为软件供应链安全和跨GitHub和JFrog高级安全产品的策略提供一站式解决方案。此外，通过利用GitHub Copilot来进行的对话和查询制品及流水线状态，以确保项目顺利推进。

JFrog首席执行官Shlomi Ben Haim表示：“开发者和DevOps工程师现在能够共同体验两个领域的完美融合：最好的源代码平台和最好的制品平台。我们的客户快速采用技术，需要在管理DevOps、安全性、CI/CD和AI项目的同时整合工具。我们很高兴能与GitHub建立强大的合作伙伴关系，这一集成不仅能提供强大且无缝的双重平台体验，还能提高开发效率，提升用户的幸福感。”

在摩根大通2024年4月30日的一份报告中，企业软件股票研究部执行董事Pinjalim Bora分享道：“ GitHub和JFrog日益被视为DevOps的最佳平台。事实上，最近的一项DevOps调查显示，有50%正在使用JFrog解决方案的客户将GitHub作为其主要代码库。”

GitHub首席执行官Thomas Dohmke表示：“我们已经看到，GitHub Copilot正在改变开发者编写代码的方式。同时，更多的代码意味着更多的二进制文件，而二进制文件有其自身的管理、安全和交付要求。正因如此，我们很高兴与JFrog达成合作。我们将采用行业领先的技术，并将其与Artifactory中同类最佳的制品库管理器无缝整合。有了GitHub和JFrog，企业将拥有最全面的选择来生成、管理、保护和交付整个供应链上的软件。”

全球领先的金融服务公司摩根士丹利（Morgan Stanley），作为JFrog和GitHub的共同客户，提供广泛的投资银行、证券、财富管理和投资管理服务。

摩根士丹利杰出工程师Amol Shukla表示：“我们很高兴看到一些增强功能得以实现。我们相信GitHub和JFrog之间的合作有望对DevOps领域产生重大影响。例如，在GitHub Actions Workflows与JFrog Artifactory中创建和存储的Release Artifacts之间建立双向链接，可以增强整体软件供应链的开发体验和可追溯性。”

现在，JFrog和GitHub为企业提供了管理软件供应链的无缝端到端体验：

●双向代码和软件包关联——通过提供代码和内置包之间的原生链接，实现精确的追踪和分流，从而获得更精简的数据，进一步确保合规性，并获得安全导向型输出以及软件来源。

●针对存储制品的GitHub Actions追溯——无缝整合Artifactory中的软件包解析和Actions生成的二进制制品存储，以及Artifactory中的构建元数据，有助于更准确地生成SBOM。

●SSO、角色和项目结构统一——实现无缝登录、项目角色映射和访问管理以及CI整合，以确保开发者高效工作。

●JFrog和GitHub高级安全检测结果的单一视图——在单一视图中提供针对源代码和二进制代码的全面安全检测视图，提供从源代码到生产的安全态势的全面可视性，并实现检测结果与源代码或二进制文件的源链接（未来数月内推出）。

●Copilot Chat集成——允许开发者扩展其Copilot Chat互动，交互式地获取有关最佳软件包和版本的建议，并就安全和JFrog项目设置等问题进行提问，以更全面地了解软件开发生命周期（未来数月内推出）。

作为一项长期计划，双方公司都致力于打造一条持续优化的发展路线图，确保两个平台的用户都能有效地管理其代码和二进制文件。未来，双方将定期推出并共享更多整合点。

IDC软件开发、DevOps和DevSecOps研究项目副总裁Jim Mercer表示：“在DevOps、ML、AI、安全等领域，开发者的责任不断增加，许多企业顺理成章开始通过工具整合提升效率。GitHub和JFrog的此次合作有助于实现这一目标，将开发者目前已经在使用的两个最知名的平台整合到一个统一的端到端愿景之中，发挥两种解决方案的优势，进一步简化开发，优化DevOps和平台工程团队的工作方式。”

总部位于美国的跨国电信公司AT&T是JFrog和GitHub的共同客户，该公司技术部门对此发表了评论。AT&T技术总监John Nuttall表示：“除了DevOps和DevSecOps实践之外，未来还需要与AI工具进行高级交互。通过与GitHub的Copilot聊天，根据JFrog Catalog中存储的大量元数据选择正确、安全的软件包，可以改变行业的‘游戏规则’。这种集成将显著提高Copilot用户在软件供应链、二进制环境和代码环境中的效率。这次合作提供了两全其美的解决方案。”

首席信息官（CIO）和首席信息安全官（CISO）在整体软件供应链流程中分担更多责任，GitHub和JFrog的合作已经得到了来自各行各业当中各类岗位的客户的大力支持。

Vimeo首席信息官兼首席信息安全官Mark Carter表示：“业界和市场一直期待着这样强强联合、优势互补的解决方案。企业正在围绕主要的最佳平台进行整合，GitHub和JFrog之间的合作有可能改变DevOps和DevSecOps市场，提高开发者的效率。通过在GitHub的‘安全’标签下显示来自GitHub的基于源代码的安全检测结果以及来自JFrog的基于二进制的安全检测结果，这种集成可以简化软件供应链安全，使开发者能够获得整体安全视图并缩短修复时间，从而改善整体安全态势。软件供应链安全是每个CISO的首要任务，而JFrog和GitHub的联合解决方案则提供了关键性的AI网络安全控制。”

合作路线图还得到了富达投资（Fidelity Investments）的认可，该公司已基于GitHub和JFrog实现了标准化，为5000多万个人投资者提供支持，管理着数万亿美元的资产。

富达投资ALM工具和平台主管Gerard McMahon表示：“软件供应链管理为开发者带来了许多挑战和困扰。JFrog的软件供应链平台与GitHub的开发者平台之间的整合旨在提供‘默认情况下的安全’开发者体验。这种合作为开发者提供了代码和二进制文件的单一事实来源，安全团队可获得全面的可追溯性和统一的视图以监测和修复威胁，从而降低风险。”

为支持GitHub和JFrog的合作愿景，飞利浦（Phillips）的IT、DevOps和工程总监Uzi Yona也表示：“在JFrog和GitHub的强大整合功能中，通过实现GitHub Actions/ Workflows和Artifactory资产之间完全透明且无障碍的数据流，将简化软件开发者的工作，并将大幅减少配置和支持负载。”

JFrog宣布即将于2024年9月9日至11日在德克萨斯州奥斯汀举办年度用户大会swampUP。此次活动中，JFrog和GitHub将共同展示其愿景，分享进行中的发展路线图项目，并为业界展示最新的开发成果。