JFrog a dévoilé lors de la conférence SwampUP 2025 à Napa, en Californie, une suite d’outils basés sur l’intelligence artificielle destinés à automatiser la sécurisation du cycle de vie du logiciel, dont la remédiation agente intégrée à GitHub Copilot et le nouveau référentiel « Fly ». L’annonce s’inscrit dans la stratégie « Liquid Software » du groupe, qui vise à rendre la chaîne d’approvisionnement logicielle totalement autonome et à réduire les risques de vulnérabilités dès la phase de codage. Ces innovations promettent aux équipes DevSecOps européennes et mondiales une réduction notable des temps d’arrêt liés à la sécurité et une conformité proactive aux politiques d’entreprise.
À retenir
- JFrog introduit la remédiation agente, capable de détecter et corriger les vulnérabilités directement dans l’IDE grâce à l’IA.
- Le serveur MCP alimente JFrog Curation & Catalog, garantissant la sélection de packages open source sécurisés.
- Les nouveaux services Fly, AI Catalog et AppTrust renforcent un écosystème « auto‑réparateur » pour les modèles IA et le code.
- Intégration native avec GitHub Copilot, Cursor, Claude Code et d’autres outils de développement courants.
- Disponibles dès aujourd’hui dans les offres JFrog Ultimate et Unified, ces solutions ciblent plus de 7 000 clients, dont la majorité du Fortune 100.
Jfrog place l’IA au cœur du devsecops : la vision du liquid software
La montée en puissance de l’IA modifie la façon dont les organisations gèrent leurs flux de travail DevOps, DevSecOps et MLOps. JFrog Ltd. se positionne comme le fournisseur d’une plateforme unifiée qui permet de livrer du logiciel « sans friction », du développeur à la production, conformément à sa déclaration de « Liquid Software ». Le PDG Shlomi Ben Haim a rappelé à SwampUP 2025 que chaque composant fondamental doit disposer d’un système d’enregistrement unique, servant d’ancrage à l’ensemble de la chaîne d’approvisionnement. Cette approche vise à répondre aux exigences de traçabilité, de visibilité et de sécurité imposées par l’ère de l’IA. Les 7 000 clients de JFrog, parmi lesquels de nombreuses entreprises du Fortune 100, sont déjà exposés à ces nouvelles pratiques.
Contexte et enjeux actuels du devsecops à l’ère de l’ia
Les organisations doivent aujourd’hui protéger des pipelines de plus en plus automatisés et des modèles d’apprentissage automatique qui s’appuient sur des bibliothèques open source. La multiplication des CVE (Common Vulnerabilities and Exposures) rend la détection manuelle trop lente, ce qui augmente le risque d’exposition en production. La transformation digitale oblige les équipes à adopter des pratiques « agentiques », où les agents d’IA assurent la surveillance continue et la prise de décision autonome. Le manque de visibilité sur la provenance des artefacts reste un frein majeur à la conformité et à la souveraineté des données. JFrog propose donc de combiner automatisation et gouvernance afin de créer une chaîne d’approvisionnement résiliente.
La vision de JFrog : liquid software comme fondement de la souveraineté logicielle
Le concept de « Liquid Software » repose sur une plateforme qui orchestre le développement, la sécurité et le déploiement des modèles d’IA et du code applicatif. Cette plateforme doit pouvoir s’interfacer avec les outils de développement les plus répandus, tout en assurant un enregistrement immuable des artefacts. En intégrant l’analyse contextuelle et la génération de correctifs, JFrog ambitionne de réduire la dépendance aux processus humains et de renforcer la souveraineté des entreprises européennes face aux fournisseurs de cloud. L’objectif affiché est de rendre chaque étape du pipeline observable, vérifiable et réversible.
Remédiation agente : automatisation de la sécurisation du code source
La nouveauté majeure présentée à SwampUP 2025 est la « remédiation agente », une fonctionnalité qui exploite les modèles d’IA pour identifier et corriger les vulnérabilités dès que le développeur écrit du code. Cette capacité repose sur l’intégration du serveur MCP de JFrog avec GitHub Copilot, offrant des suggestions de correctifs directement dans l’environnement de développement intégré (IDE). Les agents IA de JFrog analysent le contexte du projet, comparent les références aux bases de données de vulnérabilités et proposent des patches conformes aux politiques de sécurité de l’organisation.
Capacités clés et intégrations techniques
Les agents IA opèrent via le Model Context Protocol (MCP) d’Anthropic, qui fournit une compréhension sémantique du code et des dépendances. La connexion à GitHub Copilot permet d’injecter les recommandations de façon conversationnelle, réduisant ainsi le besoin de recherche manuelle dans les bases de données CVE. La solution est disponible dans les bundles JFrog Ultimate et Unified, sans coût additionnel pour les clients existants. Selon Asaf Karas, CTO de JFrog Security, l’objectif est de passer d’une sécurité réactive à une gestion proactive et continue des vulnérabilités.
Bénéfices mesurables pour les développeurs et les organisations
Les premières mesures internes montrent une réduction de 40% du temps moyen de résolution des vulnérabilités critiques, grâce à l’automatisation des correctifs dans l’IDE. Les développeurs bénéficient d’un flux de travail ininterrompu, les builds échouant moins souvent pour des raisons de sécurité. Pour les équipes de conformité, la génération automatique de rapports d’audit facilite la démonstration de la conformité aux normes ISO 27001 et aux exigences du RGPD. Enfin, la correction proactive des packages empêche la réintroduction de code compromis dans les futures itérations.
Chaîne d’approvisionnement auto‑réparatrice : gestion des packages et analyse contextuelle
JFrog combine l’analyse contextuelle issue de sa recherche interne avec la remédiation automatique guidée par les politiques d’entreprise. Cette combinaison crée une chaîne d’approvisionnement capable d’« inoculer » les bases de code contre les vulnérabilités récurrentes. Les services JFrog Curation et Catalog exploitent le serveur MCP pour proposer aux développeurs des packages open source vérifiés, conformes aux exigences de sécurité et de licence.
Gestion des packages sécurisés et prévention des échecs de build
Le moteur de curation scanne les métadonnées des artefacts, détecte les licences incompatibles et les CVE associés. Lorsqu’un package est jugé non conforme, le système propose automatiquement une version alternative ou génère un correctif conforme aux politiques internes. Cette approche évite les interruptions de pipeline liées à des dépendances vulnérables, augmentant la productivité des équipes de développement de 25% selon les données internes de JFrog. De plus, la traçabilité du processus de sélection des packages est conservée dans l’Evidence Ecosystem, garantissant une auditabilité complète.
Analyse contextuelle et prévention continue des risques
En analysant le contexte d’utilisation des bibliothèques (par exemple les appels d’API, les patterns de consommation et les environnements d’exécution), les agents IA peuvent anticiper les vecteurs d’attaque potentiels. Le système génère alors des politiques de sécurité dynamiques, appliquées automatiquement lors du build ou du déploiement. Cette capacité de « prévention continue » transforme la chaîne d’approvisionnement en un système auto-réparateur, où chaque vulnérabilité détectée donne lieu à un correctif généré et déployé sans intervention humaine.
L’écosystème élargi de JFrog : fly, ai catalog et apptrust au service de l’industrie
Au-delà de la remédiation, SwampUP 2025 a présenté trois nouvelles offres qui renforcent le positionnement de JFrog comme pivot de l’innovation logicielle. JFrog Fly propose un référentiel agentique dédié aux artefacts pilotés par l’IA, tandis que le JFrog AI Catalog assure la gouvernance et le déploiement des modèles de machine learning. Enfin, JFrog AppTrust introduit le concept de « DevGovOps », automatisant la conformité des versions logicielles grâce à un « Evidence Ecosystem » interconnecté.
JFrog Fly et le référentiel agentique : simplifier la livraison pilotée par l’ia
Fly s’appuie sur le MCP d’Anthropic pour gérer centralement les artefacts et les conteneurs liés aux projets d’IA. Il se connecte nativement à des outils comme Cursor, GitHub Copilot et Claude Code, offrant une interface unique pour la publication, la version et le suivi des modèles. Cette simplification réduit les frictions de déploiement et permet aux équipes de se concentrer sur l’innovation fonctionnelle plutôt que sur la logistique des artefacts.
AI Catalog et apptrust : gouvernance des modèles et preuve d’auditabilité
L’AI Catalog assure la traçabilité de la lignée des modèles, l’application de politiques de conformité (licences, données d’entraînement, exigences éthiques) et le déploiement en un clic sur des fournisseurs tels qu’OpenAI, Anthropic PBC et Amazon Web Services Inc. AppTrust, quant à lui, capture des attestations de provenance, de qualité du code et d’approbations de déploiement via des partenaires comme GitHub, ServiceNow et Sonar. Ce maillage crée une piste d’audit vérifiable, essentielle pour les secteurs réglementés (finance, santé, défense).
Tableau comparatif des offres JFrog intégrant les nouvelles capacités
| Offre | Fonctionnalités IA intégrées | Modules de sécurité | Accès aux référentiels |
|---|---|---|---|
| JFrog Ultimate | Remédiation agente, Curation & Catalog, AI Catalog | Scan CVE en temps réel, politiques de conformité | Fly + Artifactory standard |
| JFrog Unified | Remédiation agente, AppTrust, Evidence Ecosystem | Gestion des vulnérabilités proactive, rapports d’audit | Fly + repos Docker intégré |
Impact industriel et perspectives pour l’Europe
Ces nouveautés offrent aux entreprises européennes un levier pour atteindre la souveraineté logicielle, en limitant la dépendance aux fournisseurs de cloud étrangers et en garantissant la conformité aux exigences du RGPD. Les partenaires industriels signalent déjà une adoption accélérée, notamment dans les secteurs automobile et pharmaceutique, où la traçabilité des composants logiciels est cruciale. JFrog prévoit d’étendre les capacités de remédiation autonome aux environnements hybrides et multicloud, afin de couvrir les déploiements edge et les infrastructures de souveraineté nationale.
