如何将 JFrog 平台连接到 GitHub 环境以创建无缝集成

如何将 JFrog 平台连接到您的 GitHub 环境以创建无缝集成

集成 GitHub 和 JFrog 平台的指南，为整个编码和构建阶段的软件项目管理和安全提供统一的体验。

JFrog 与 GitHub 的最新合作使您能够轻松地将您最喜爱的源代码和二进制文件解决方案无缝整合在一起。这意味着您现在拥有了统一、全面、安全的端到端体验，为您的软件项目提供支持。

该集成涵盖了从整理开源软件包、编码、CI、发布管理、部署到生产的方方面面。包括对开发人员体验的三大重要改进。

• 统一身份验证和授权 - 用于GitHub工作流程操作以及JFrog与 GitHub 之间的无缝SSO身份验证。
• 代码和软件包的双向链接 - 代码和软件包可在两个平台上链接。
• 统一安全性 - JFrog 高级安全调查结果可直接从 GitHub 控制面板中获取，并对合并执行拉取请求检查。

 

 

统一的端到端JFrog和GitHub体验，从代码到软件包在本篇博客文章中，我们将介绍用例流程，包括演示集成的分步说明。

让我们开始吧！

 

开始之前

以下是您需要的东西：

· JFrog 平台云或自托管

o 创建一个名为 CodeNinjas_AI 的 JFrog 项目

· GitHub 示例存储库

o 分叉此示例存储库，以便您有自己的副本进行实验。

 

1. 身份验证和授权

要实现跨两个平台的身份验证和授权，您需要配置：

· Github Variables

· OAuth

· OIDC

· GitHub Actions

Github Actions

GitHub变量用于存储您的敏感身份验证。在 GitHub 中定义以下两个变量，它们将指向 JFrog。前往 “设置” > “秘密和变量” > “操作”，添加变量。

· JF_URL – 代表指向 JFrog 服务器的基本 URL

· JF_PROJECT – 代表连接到GitHub存储库的JFrog项目密钥

 

 

 

 

操作秘密和变量

OAuth

 根据GitHub OAuth配置OAuth，以使用GitHub认证登录JFrog平台

 

 

 

通过 GitHub OAuth 登录 JFrog 平台

OIDC

JFrog 的OIDC与GitHub Actions的集成使您能够在GitHub Actions和JFrog平台之间建立信任关系。

 从JFrog平台用户界面，转到“管理”选项卡 > “常规” > “管理集成” > “新集成” > OpenID Connect

配置OIDC集成，然后单击保存并继续。

配置身份映射：

· 名称：身份映射名称

· 描述：最好能标识原始存储库和映射的身份

· 优先级：评估身份映射的优先顺序

· json声明 ：包含要验证的声明的json文件，以便此映射评估为真

o iss：设置为https://token.actions.githubusercontent.com以验证声明由 GitHub生成

o 企业：存储库所属企业名称的可选声明限制

o 存储库：你的GitHub存储库名称

o 可选声明：环境、角色、运行程序环境、子运行程序环境、资源库所有者、资源库可见性、工作流等
例如，

 

 

 

· 令牌范围： 组/用户/管理员：具有特定组/用户范围的令牌

· 服务：允许访问的特定/所JFrog服务

· 令牌过期时间：令牌过期的分钟数

 

JFrog平台 – 身份映射

 

JFrog 平台与 GitHub - OIDC 集成

 

GitHub Actions

创建您的Github Action配置以设置JFrog CLI并运行JFrog FrogBot。

配置JFrog CLI设置：

 

配置Frogbot：

 

2. 代码和软件包的双向链接
在您的GitHub构建操作中使用JFrog CLI，可将构建连接到JFrog中的相关构建信息、软件包和安全扫描。通过这种集成，您可以将GitHub Actions与JFrog Artifactory结合起来。
此示例构建任务yml已配置为在每次拉取请求/推送后自动触发。

 

JFrog 在 GitHub 的作业摘要
一旦构建运行完成，就会生成包含构建和安全信息的作业摘要。您可以在 JFrog 和 GitHub 平台之间轻松导航。您可以查看Xray安全扫描数据、项目构建详细信息（如构建差异、环境变量、构建json信息等）。您还可以通过点击项目包链接获取有关工件和安全扫描的其他信息，该链接将引导您进入JFrog项目包视图。

 

指向 GitHub 工作的 JFrog 工作摘要、软件包、漏洞和构建信息 SBOM

 

3. 统一安全性
JFrog Frogbot 可自动扫描您的软件源，查找依赖项目库中的潜在漏洞、暴露的秘密和恶意软件。检测到漏洞时，Frogbot不仅会向您发出警报，还能自动打开拉取请求，提出修复建议，从而简化修复过程。这些检查可以防止任何未经授权或有风险的代码更改合并到您的存储库中。

它还提供详细的报告和仪表板，有助于满足合规要求，并深入了解项目的安全状况。