GitHub und JFrog haben am Mittwoch eine Partnerschaft bekannt gegeben, die zu einer tieferen Integration der Plattformen beider Unternehmen führen soll. Dadurch können Entwickler und ihre Support-Teams ihren Quellcode und die daraus resultierenden Binärdateien einfacher über beide Dienste hinweg verwalten.
Dazu gehören unter anderem die Möglichkeit, Code plattformübergreifend vom Quellcode bis zu Binärpaketen zu verfolgen, Single-Sign-On-Unterstützung und einheitliche Projektstrukturen, einschließlich Rollenzuordnung. Später wird es auch ein einheitliches Dashboard geben, das die Ergebnisse von Quellcode- und Binär-fokussierten Sicherheitsscans der jeweiligen Sicherheitstools von GitHub und JFrog auf einer einzigen Oberfläche anzeigt.
Auf den ersten Blick mag dies eine seltsame Kombination sein, da beide Unternehmen im DevOps-Bereich tätig sind. Da sich GitHub jedoch auf Quellcode und JFrog auf Binärdateien konzentriert, ist die Überschneidung zwischen ihnen tatsächlich relativ gering. Wie sich herausstellt, sind etwa die Hälfte der JFrog-Kunden auch GitHub-Benutzer. Wie mir JFrog-CEO und Mitbegründer Shlomi Ben Haim und GitHub-CEO Thomas Dohmke beide sagten, besteht die Hauptaufgabe darin, ihnen das Leben leichter zu machen.
„Wir verwenden Artifactory selbst innerhalb von GitHub“, sagte mir Dohmke (genauso wie JFrog GitHub zur Verwaltung seines Quellcodes verwendet). „Und so war es für uns ganz natürlich, mehr gemeinsam zu tun, da wir darüber nachdenken, wie wir das Software-Ökosystem sichern können, wie wir unseren Unternehmenskunden wie AT&T und Fidelity oder Vimeo helfen können? Wie können wir ihnen helfen, einen End-to-End-Lebenszyklus zu haben. Und wenn Sie sich an unser allererstes Gespräch erinnern, bevor ich CEO wurde, ist unsere Vision für GitHub, dass wir Teil eines großen Ökosystems sind. Copilot Extensions verfolgt genau diese Linie: Wir müssen mit anderen Unternehmen in unserem Ökosystem zusammenarbeiten, um unseren Kunden – unseren Entwicklern – das beste Erlebnis zu bieten.“
Ebenso betonte Ben Haim von Jfrog, dass es in seinem Unternehmen ausschließlich um Binärdateien gehe – und um die Erstellung Sicherheitsprodukte darum herum. „JFrog ist die einzige umfassende Software-Lieferkettenplattform der Welt“, sagte er. „GitLab ist eine Quellcode-Plattform, GitHub ist eine Quellcode-Plattform. Atlassian mit BitBucket – dasselbe.“ […] Artifactory ist Ihr Binär-Repository und dient der Organisation als einzige Aufzeichnungsquelle.“
GitLab kann dieser Beschreibung jedoch widersprechen, da das Unternehmen eine ziemlich umfassende DevSecOps-Plattform anbietet. Unbestritten ist jedoch, dass Unternehmen heute versuchen, ihre Ausgaben auf die besten Lösungen zu konzentrieren. Heutige Unternehmen, so Ben Haim, müssen in der Lage sein, zu skalieren, aber auf sichere Weise, und dabei gleichzeitig immer schneller agieren und die besten Dienste auf dem Markt auswählen.
„Wenn Sie darüber nachdenken, wo Entwickler leben, leben sie auf GitHub und sie leben auf JFrog. […] Im Grunde genommen müssen wir unseren Kunden diese Zusammenarbeit, diese Verbindung nicht erklären, denn hier sind sie nun einmal: Sie sind entweder wegen des Quellcodes hier oder wegen der Binärdateien – und diese gemeinsame Geschichte macht ihnen das Leben leichter“, sagte er.
Im Jahr 2024 kann man nicht „GitHub“ sagen, ohne über Copilot, das KI-Tool des Unternehmens, zu sprechen. Die Ankündigung vom Mittwoch ist da keine Ausnahme. Sie umfasst eine umfassende JFrog/Copilot-Integration, die nun Copilot Chat erweitert, sodass Entwickler Fragen stellen können, beispielsweise welche Softwarepakete (oder welche Version dieser Pakete) sie verwenden sollen, wie sie am besten gesichert werden können und wie JFrog-Projekte eingerichtet werden.
„Mit GitHubs Copilot zu chatten, um das richtige und sichere Softwarepaket basierend auf den umfangreichen Metadaten auszuwählen, die im JFrog Catalog gespeichert sind, kann bahnbrechend sein“, erklärte John Nuttall, Director of Technology bei AT&T, einem gemeinsamen Kunden von JFrog und GitHub. „Diese Integration wird die Effizienz der Copilot-Benutzer in der gesamten Software-Lieferkette erheblich steigern: in binär fokussierten und Code-Umgebungen. Diese Partnerschaft bietet das Beste aus beiden Welten.“
Dohmke von GitHub merkte auch an, dass GitHub in Zukunft plant, mehr agentenähnliche Funktionen in Copilot zu integrieren, die mit einem Sicherheitstool wie Posten (das zu den ersten Unternehmen gehörte, das eine Copilot-Erweiterung anbot), GitHub und JFrogs Artifactory, um eine bestimmte Aktion autonom auszuführen.
Kunden wie AT&T, so erzählte mir Ben Haim, möchten mit denselben Anmeldeinformationen einfacher zwischen GitHub und JFrog hin- und herwechseln. Sie möchten auch eine Rückverfolgbarkeit, die den Lebenszyklus eines Codeabschnitts vom Quellcode zur Binärdatei und zurück verfolgt. Traditionell waren Code und Binärdatei immer ziemlich getrennt voneinander, aber mit dieser Integration kann ein Team, das die Binärdatei in Produktion bringt, jetzt schnell sehen, welche Änderungen zuletzt am Quellcode vorgenommen wurden, und mit dem für diese Änderungen verantwortlichen Entwickler zusammenarbeiten, um ein Problem zu beheben.
Auch die Sicherheitsaspekte sind hier wichtig. Normalerweise verwenden diese Kunden sowohl die Sicherheitslösungen von GitHub als auch die von JFrog, möchten aber nicht zwei verschiedene Dashboards überprüfen müssen. Wie Dohmke von GitHub bemerkte, können verschiedene Benutzer unterschiedliche Dashboards sehen – die Entwickler möchten ihre wahrscheinlich direkt in GitHub sehen, während ein Sicherheitsteam seine lieber in Artifactory oder anderswo sehen möchte.
„Diese Integration kann die Sicherheit der Software-Lieferkette vereinfachen, indem sie quellenbasierte Sicherheitsergebnisse von GitHub neben binärbasierten Sicherheitsergebnissen von JFrog unter der Registerkarte „Sicherheit“ von GitHub anzeigt. So erhalten Entwickler eine ganzheitliche Sicherheitsansicht und können die Behebungszeiten verkürzen, um die allgemeine Sicherheitslage zu verbessern“, sagte Mark Carter, CIO und CISO von Vimeo. „Die Sicherheit der Software-Lieferkette hat für jeden CISO oberste Priorität, und diese gemeinsame Lösung von JFrog und GitHub bietet eine kritische, KI-gestützte Cybersicherheitskontrolle.“
Mit Blick auf die Zukunft planen die beiden Unternehmen, diese Integration noch weiter zu vertiefen. Die aktuelle Lösung soll die unmittelbaren Probleme ihrer Kunden lösen, sagte Ben Haim. Später in diesem Jahr werden die Unternehmen auf der SwampUP-Konferenz von JFrog im September mehr darüber erzählen, was als Nächstes geplant ist.