Pour les applications embarquées et IoT, JFrog sécurise la gestion des “packages” open source C/C++

Disponible en téléchargement immédiatement, l’environnement Conan 2.0, édité par la société américaine d’origine israélienne Jfrog, offre la possibilité de modéliser les graphiques de dépendances d'applications C et C++ et les packages binaires logiciels les plus avancés, permettant aux développeurs de reproduire des constructions d'artefacts en toute sécurité et de sécuriser le développement de code déployé à grande échelle.

« Conan 2.0, construit avec la communauté C/C++, s'appuie sur des années d'expérience et d'utilisation de l'open source par des centaines de milliers de développeurs dans le monde et vise à aider à résoudre un défi clé d’un processus de développement : la gestion des dépendances logicielles, explique Diego Rodriguez-Losada, cofondateur de Conan.io et architecte principal chez JFrog. Pour les organisations qui conçoivent des applications pour des cas d'usage hautes performances, embarqués et IoT, Conan 2.0 donne une visibilité à ces dépendances sur l'ensemble de leur chaîne d'approvisionnement logicielle afin de renforcer la confiance et de sécuriser cette chaîne. »

Selon Jfrog, Conan vise à moderniser l’approche du développement logiciel dans un contexte DevOps, permettant à ces développeurs de reconstruire rapidement des composants tout en récupérant les dépendances sous forme de binaires compilés grâce à l’outil Artifactory.

Cette approche centrée sur le binaire permet, selon Jfrog, d'accélérer la chaîne d'approvisionnement logicielle en produisant des artefacts binaires qui peuvent être facilement partagés entre les développeurs.

Dans le détail, la version 2.0 de Conan procure de puissantes capacités de gestion des packages C et C++, offrant aux développeurs une flexibilité accrue dans le cadre d’une organisation agile de type CI/CD (Continuous Integration/Continuous Delivery).

Conan 2.0 intègre aussi désormais un plug-in dit de “signature” afin de mieux sécuriser la chaîne d'approvisionnement en logiciels. Une technologie qui permet aux organisations d'ajouter des “signatures” à leurs packages logiciels pour protéger leurs applications contre les codes tiers malveillants.

Parallèlement, cette version 2.0 possède de nouvelles API ouvertes (dont une nouvelle API Python publique) et des commandes personnalisées pour la création d’applications, ainsi qu’une nouvelle modélisation des artefacts et de la gestion des dépendances. L’objectif étant d’obtenir une meilleure compréhension de la relation entre les différentes parties des composants logiciels afin que les équipes de développeurs puissent réutiliser le plus efficacement possible les fichiers binaires en toute confiance.

Enfin, Conan 2.0 utilise désormais des fichiers de verrouillage pour “épingler” toutes les versions des dépendances logicielles, garantissant ainsi aux organisations un cadre pour reproduire de manière sécurisée les versions de leurs projets et ainsi accélérer les processus CI/CD.

Cofondé en 2008 en Israël, aujourd’hui basé à Sunnyvale en Californie, et également implanté en France, JFrog se présente comme la “base de données de DevOps”, sa plateforme Artifactory permettant de gérer l’ensemble des composants logiciels nécessaires à la mise à jour des applications sur un mode continu. En rachetant Upswift en 2021 et sa solution de maintenance des équipements en périphérie à grande échelle, JFrog a ajouté l’IoT à sa plateforme de déploiement de mises à jour OTA (Over The Air) en continu. En d’autres termes, à travers l’intégration des technologie d'Upswift, Jfrog a étendu ses capacités d'automatisation des mises à jour des fichiers et conteneurs sur une flotte d'équipements distribués, avec des capacités de contrôle à distance des dispositifs IoT, incluant l’accès direct à l’équipement depuis un navigateur ou une API.