JFrog与GitHub携手打造业界最佳平台，实现软件供应链管理与安全的统一

在客户和业界共同需求的推动下，JFrog 和 GitHub 制定了统一的发展路线图，旨在强化 DevOps、DevSecOps、MLOps 和 AI 实践的整体效能

2024年6月4日 —— 流式软件公司、 JFrog 软件供应链平台的缔造者JFrog 与全球领先的AI驱动型开发者平台GitHub，近期宣布达成一项新的合作伙伴关系，以提供最佳的整合平台解决方案，助力双方的共同客户全面管理开发者的“EveryOps”，包括DevOps、DevSecOps、MLOps和生成式AI驱动型应用程序。

开发团队必须同时管理源代码和二进制文件， 因此JFrog 和 GitHub 之间的双向集成可谓是天作之合。双方共同制定的发展路线图聚焦于源代码和二进制文件之间的无缝导航和可追溯性、 GitHub Actions 和 JFrog Artifactory 的持续集成和部署，以及统一的安全检测结果视图，以便为软件供应链安全和跨 GitHub 和 JFrog 高级安全产品的策略提供一站式解决方案。此外，通过利用GitHub Copilot来进行的对话和查询制品及流水线状态，以确保项目顺利推进。

JFrog 首席执行官 Shlomi Ben Haim 表示：“开发者和 DevOps 工程师现在能够共同体验两个领域的完美融合：最好的源代码平台和最好的制品平台。我们的客户快速采用技术，需要在管理 DevOps、安全性、CI/CD 和AI项目的同时整合工具。我们很高兴能与 GitHub 建立强大的合作伙伴关系，这一集成不仅能提供强大且无缝的双重平台体验，还能提高开发效率，提升用户的幸福感。”

在摩根大通 2024 年 4 月 30 日的一份报告中，企业软件股票研究部执行董事 Pinjalim Bora 分享道： “ GitHub和JFrog日益被视为DevOps的最佳平台。事实上，最近的一项 DevOps 调查显示，有50%正在使用JFrog 解决方案的客户将GitHub作为其主要代码库。”

GitHub 首席执行官 Thomas Dohmke 表示：“ 我们已经看到，GitHub Copilot 正在改变开发者编写代码的方式。同时，更多的代码意味着更多的二进制文件，而二进制文件有其自身的管理、安全和交付要求。正因如此，我们很高兴与JFrog达成合作。我们将采用行业领先的技术，并将其与 Artifactory 中同类最佳的制品库管理器无缝整合。有了 GitHub 和 JFrog，企业将拥有最全面的选择来生成、管理、保护和交付整个供应链上的软件。”

全球领先的金融服务公司摩根士丹利（Morgan Stanley），作为JFrog和GitHub的共同客户，提供广泛的投资银行、证券、财富管理和投资管理服务。

摩根士丹利杰出工程师Amol Shukla表示：“我们很高兴看到一些增强功能得以实现。我们相信GitHub和JFrog之间的合作有望对DevOps领域产生重大影响。例如，在 GitHub Actions Workflows 与 JFrog Artifactory 中创建和存储的 Release Artifacts 之间建立双向链接，可以增强整体软件供应链的开发体验和可追溯性。”

现在，JFrog 和 GitHub 为企业提供了管理软件供应链的无缝端到端体验：

●双向代码和软件包关联 —— 通过提供代码和内置包之间的原生链接，实现精确的追踪和分流，从而获得更精简的数据，进一步确保合规性，并获得安全导向型输出以及软件来源。

●针对存储制品的 GitHub Actions 追溯 —— 无缝整合 Artifactory 中的软件包解析和 Actions 生成的二进制制品存储，以及 Artifactory 中的构建元数据，有助于更准确地生成 SBOM。

●SSO、角色和项目结构统一 —— 实现无缝登录、项目角色映射和访问管理以及 CI 整合，以确保开发者高效工作。

●JFrog 和 GitHub 高级安全检测结果的单一视图 —— 在单一视图     中提供针对源代码和二进制代码的全面安全检测视图，提供从源代码到生产的安全态势的全面可视性，并实现检测结果与源代码或二进制文件的源链接（未来数月内推出）。

●Copilot Chat 集成 —— 允许开发者扩展其 Copilot Chat 互动，交互式地获取有关最佳软件包和版本的建议，并就安全和JFrog项目设置等问题进行提问，以更全面地了解软件开发生命周期（未来数月内推出）。

作为一项长期计划，双方公司都致力于打造一条持续优化的发展路线图，确保两个平台的用户都能有效地管理其代码和二进制文件。未来，双方将定期推出并共享更多整合点。

IDC软件开发、DevOps和DevSecOps研究项目副总裁Jim Mercer表示：“ 在DevOps、ML、AI、安全等领域，开发者的责任不断增加，许多企业顺理成章开始通过工具整合提升效率。GitHub和JFrog的此次合作有助于实现这一目标，将开发者目前已经在使用的两个最知名的平台整合到一个统一的端到端愿景之中，发挥两种解决方案的优势，进一步简化开发，优化DevOps和平台工程团队的工作方式。”

总部位于美国的跨国电信公司AT&T是JFrog 和 GitHub 的共同客户，该公司技术部门对此发表了评论。AT&T 技术总监 John Nuttall 表示：“ 除了 DevOps 和 DevSecOps 实践之外，未来还需要与AI工具进行高级交互。通过与 GitHub 的 Copilot 聊天，根据 JFrog Catalog 中存储的大量元数据选择正确、安全的软件包，可以改变行业的‘游戏规则’。这种集成将显著提高 Copilot 用户在软件供应链、二进制环境和代码环境中的效率。这次合作提供了两全其美的解决方案。”

首席信息官（CIO）和首席信息安全官（CISO）在整体软件供应链流程中分担更多责任，GitHub 和 JFrog 的合作已经得到了来自各行各业当中各类岗位的客户的大力支持。

Vimeo 首席信息官兼首席信息安全官 Mark Carter 表示：“ 业界和市场一直期待着这样强强联合、优势互补的解决方案。企业正在围绕主要的最佳平台进行整合，GitHub 和 JFrog 之间的合作有可能改变 DevOps 和 DevSecOps 市场，提高开发者的效率。通过在 GitHub 的‘安全’标签下显示来自 GitHub 的基于源代码的安全检测结果以及来自 JFrog 的基于二进制的安全检测结果，这种集成可以简化软件供应链安全，使开发者能够获得整体安全视图并缩短修复时间，从而改善整体安全态势。软件供应链安全是每个CISO 的首要任务，而JFrog 和 GitHub 的联合解决方案则提供了关键性的AI网络安全控制。”

合作路线图还得到了富达投资（Fidelity Investments）的认可，该公司已基于GitHub和JFrog实现了标准化，为5000多万个人投资者提供支持，管理着数万亿美元的资产。

富达投资 ALM 工具和平台主管 Gerard McMahon表示：“ 软件供应链管理为开发者带来了许多挑战和困扰。JFrog 的软件供应链平台与 GitHub 的开发者平台之间的整合旨在提供‘默认情况下的安全’开发者体验。这种合作为开发者提供了代码和二进制文件的单一事实来源，安全团队可获得全面的可追溯性和统一的视图以监测和修复威胁，从而降低风险。”

为支持 GitHub 和 JFrog 的合作愿景，飞利浦（Phillips）的 IT、DevOps 和工程总监 Uzi Yona 也表示： “在JFrog和GitHub的强大整合功能中，通过实现GitHub Actions/ Workflows和Artifactory资产之间完全透明且无障碍的数据流，将简化软件开发者的工作，并将大幅减少配置和支持负载。”

JFrog宣布即将于2024年9月9日至11日在德克萨斯州奥斯汀举办年度用户大会swampUP。此次活动中，JFrog 和 GitHub 将共同展示其愿景，分享进行中的发展路线图项目，并为业界展示最新的开发成果。