JFrog en GitHub koppelen een reeks tools en functies om code, deployment en supply chain te beveiligen – met Copilot en in Actions.
Copilot krijgt security-boost via JFrogs MCP
De AI-codeerassistent GitHub Copilot krijgt versterking van de securitytools van JFrogs DevSecOps-platform. Via JFrogs MCP-server (Model Context Protocol) herkent Copilot automatisch kwetsbaarheden en corrupte of niet-compliance pakketten in de code. Wanneer er iets gevonden wordt, biedt hij direct correctievoorstellen aan.
Voor ontwikkelteams kan dit de kwaliteit en snelheid van softwareleveringen verhogen. Zakelijk gezien vermindert het de kans dat fouten pas later in de keten – en dus duurder – aan het licht komen. Voor CIO’s betekent dit dat de ROI van AI-assistentie niet alleen in productiviteit zit, maar ook in verminderd risico.
Daarnaast heeft JFrog een dienst gepresenteerd voor het beheren van AI-modellen en -resources binnen het bedrijf, evenals een agentgestuurd repository in bèta voor softwaredistributie. Daarmee speelt JFrog in op de vraag naar gecentraliseerd beheer van AI-assets, een thema dat voor compliance- en datagovernance-afdelingen steeds belangrijker wordt.
MCP-protocol als brug tussen Copilot en JFrog
De communicatie tussen GitHub Copilot en JFrog verloopt via het MCP-protocol, dat gebruikmaakt van de resources van JFrogs securityagent Curation en de bijbehorende kwetsbaarheidscatalogus. Copilot controleert in de IDE de code van ontwikkelaars op CVE-kwetsbaarheden en op problemen in afhankelijke open-sourcepakketten die onveilig zijn of niet voldoen aan de compliance-regels van het bedrijf.
Ontwikkelaars krijgen inline correctievoorstellen in de context van hun code en kunnen aanvullende informatie over de gevonden problemen opvragen. Voor organisaties kan dit het proces van secure coding aanzienlijk stroomlijnen. Belangrijk detail: de functies vereisen de JFrog-producten Ultimate of Unified Security, waardoor licentiekosten en vendor lock-in opnieuw een rol spelen in de totale kostenafweging.
Beveiliging van de hele softwarelevenscyclus
Samen met GitHub biedt JFrog daarnaast in repositories een beveiliging van de volledige levenscyclus van een softwarecomponent – tot en met de uitrol. Deze functies kunnen via de dienst Artifactory worden geïntegreerd na de gangbare tests in Actions.
Voor IT-managers betekent dit dat de drempel lager wordt om security in de CI/CD-keten te integreren, zonder dat extra tooling nodig is. Strategisch gezien past dit in de trend waarin ontwikkel- en securityprocessen dichter naar elkaar schuiven (DevSecOps), een beweging die organisaties helpt audits en compliance sneller te doorstaan.
AI Catalogue voor veilige modeldistributie
Naast de GitHub-samenwerking heeft JFrog meer vernieuwingen aangekondigd. Voor het beheer van AI-resources binnen een organisatie komt er de AI Catalogue. Die ondersteunt het management en de distributie van alle AI-modellen en -resources in het bedrijf. Daarnaast biedt hij beveiligde verbindingen naar externe modellen zoals van OpenAI of Anthropic, Nvidia Nemotron of modellen op Hugging Face.
Dat is niet alleen technisch interessant, maar ook zakelijk relevant: de vraag wie eigenaar is van AI-modellen en hoe organisaties de kwaliteit en compliance ervan kunnen waarborgen, staat steeds hoger op de agenda. Bedrijven die AI op schaal inzetten, zullen een centrale catalogus nodig hebben om risico’s te beheersen en kosten voor wildgroei aan modellen te voorkomen.
JFrog Fly: agentgestuurd repository in beta
“Geen setup. Geen scripts. Gewoon chatten om te bouwen en uit te rollen.”
Met die slogan promoot JFrog het nieuwe agentgestuurde repository JFrog Fly, dat momenteel alleen als closed beta beschikbaar is. Het moet de volledige levenscyclus van software bestrijken en via MCP communiceren met andere componenten en repositories, zoals GitHub of Claude Code.
Voor organisaties klinkt dit als een belofte van sterk vereenvoudigd lifecycle management. Maar de zakelijke realiteit is dat zulke closed-beta-diensten vaak nog experimenteel zijn en integratie met bestaande enterprise-omgevingen onzeker is. CIO’s en IT-architecten zullen dit voorlopig vooral moeten zien als een signaal van waar de markt naartoe beweegt: agentgestuurde automatisering die pipelines verder abstraheert, maar nog niet direct inzetbaar is in productie.
