Surfant sur la problématique très actuelle de la sécurité des modèles de machine learning, JFrog a présenté un ensemble de fonctionnalités de gestion des modèles ML pour sa Software Supply Chain Platform. Appelé ML Model Management, cet ensemble vise à rationaliser la gestion et la sécurité des modèles d'apprentissage machine. Grâce à leur combinaison, les entreprises peuvent gérer leurs modèles propriétaires dans Artifactory et utiliser le référentiel de Hugging Face pour mettre en cache les modèles d'IA open source sur lesquels elles s'appuient, les rapprochant ainsi de la production et du développement et les protégeant de toute suppression ou modification.

De plus, les dernières capacités de sécurité ML de Xray proposent aux entreprises de détecter et de bloquer les modèles malveillants et ceux dont les licences ne sont pas conformes aux politiques de la société. Les utilisateurs peuvent également stocker des modèles ML créés ou enrichis en interne avec des contrôles d'accès et un historique des versions. Il est aussi possible de regrouper et de distribuer les modèles ML dans n'importe quelle version de logiciel. Selon JFrog, de plus en plus d’entreprises intègrent des modèles ML dans leurs applications. Les réglementations gouvernementales exigeant des fournisseurs de logiciels qu'ils indiquent ce qu'ils contiennent, JFrog pense qu'il ne faudra pas attendre longtemps avant que ces directives soient étendues aux modèles d'IA et de ML. « L'intégration de la capacité de gestion des modèles ML permet aux clients de stocker, de sécuriser et de gérer les modèles ML en même temps que d'autres composants logiciels », a déclaré l'entreprise.

D'autres fonctionnalités

Le même jour, JFrog a aussi dévoilé les fonctionnalités suivantes pour Software Supply Chain Platform :

- Static Application Security Testing (SAST) : cette fonction de tests statiques de sécurité des applications facilite le scan de code source pour rechercher des vulnérabilités de sécurité de type « zero-day ». JFrog SAST réduit le nombre de faux positifs et classe les actions de remédiation selon les priorités établies par une analyse contextuelle.

- Open-Source Software (OS) Catalog : cette fonction de moteur de recherche pour les solutions logicielles est accessible dans l'interface utilisateur de JFrog ou via une API. Alimentée par des données publiques et celles de JFrog, elle donne aux utilisateurs un aperçu des métadonnées de sécurité et de risque associées aux logiciels open source. Le catalogue fait partie de la composante Curation de la plateforme Software Supply Chain.

- Release Lifecycle Management (RLM) : cette fonction de gestion du cycle de vie des versions permet de créer un ensemble de versions immuables propre à un logiciel et ses composants dès le début du cycle de développement du logiciel. La fonction s'appuie également sur des systèmes de lutte contre la falsification, des contrôles de conformité et l'acquisition de preuves pour collecter des données sur chaque bundle de versions.

JFrog a déclaré que pour faire face à l'augmentation des attaques dans la cycle de dévloppement des logiciels, il était indispensable de sécuriser les releases au niveau binaire pour garantir l’immuabilité des versions publiées, car c'était le seul moyen de certifier l’intégrité de ces versions, et que la certification des releases était le seul moyen de certifier la sécurité de l'utilisation.