JFrog s’adapte à l’infusion de l’IA dans la chaîne de livraison logicielle
L’éditeur DevSecOps a profité de sa conférence annuelle SwarmUp à Nappa en Californie pour présenter ses avancées et sa feuille de route. JFrog veut non seulement sécuriser l’usage de l’IA générative, mais également l’infuser dans sa plateforme.
JFrog poursuit sur sa lancée. L’éditeur israélo-américain avait présenté en fin d’année dernière sa stratégie. Il entendait adapter ses outils de gestion de la chaîne d’approvisionnement logicielle aux approches MLOps et MLSecOps. Il s’agissait de faire de JFrog Artifactory le registre des modèles d’IA, des LLM et des librairies de code associées. L’idée était d’abord de se connecter à HuggingFace afin de filtrer et sécuriser les binaires (checkpoints), les jeux de données et d’autres ressources en fonction des exigences des entreprises.
« En la matière, la demande la plus fréquente chez nos clients, c’est la capacité de gérer les modèles en interne, sans téléchargement systématique depuis Internet », déclare Fred Simon, cofondateur et chief architect chez JFrog.
L’AI Catalog prend de l’ampleur
« La demande la plus fréquente chez nos clients, c’est la capacité de gérer les modèles en interne, sans téléchargement systématique depuis Internet. »
Fred SimonCofondateur et chief architect, JFrog
Avec l’AI Catalog, JFrog étend ce principe à deux autres partenaires : Nvidia et Anthropic. Cela couvre les API associées aux microservices NIM et aux LLM Claude d’Anthropic. « Le but de l’AI Catalog c’est d’avoir un seul environnement pour les clients et certifier l’origine de tous leurs modèles », affirme-t-il. « Jusqu’alors les clients opéraient ce travail de validation et de contrôle par leur propre moyen, après que les data scientists et les développeurs aient téléchargé les modèles », ajoute-t-il. « Avec JFrog AI Catalog, il est possible d’effectuer cette sélection a priori à l’aide de polices de conformité, à partir des métadonnées ».
L’AI Catalog est accessible aux clients de JFrog Curation. Il bénéficie donc de certaines des fonctionnalités de l’outil : blocage des paquets malicieux et vieillissants, analyse des vulnérabilités en continu via le SCA Xray, filtrage de certaines licences propriétaires ou open source.
« Nous faisions depuis longtemps la détection des modèles malicieux dans les environnements des data scientists », relate Fred Simon. Néanmoins, AI Catalog représenterait « beaucoup de boulot, puisque chaque vendeur a une technique un peu différente pour fournir leurs modèles, leurs API, et les métadonnées qui vont avec. Une partie de la vérification des modèles est, elle aussi, effectuée à l’aide de l’IA ».
Les modèles peuvent être libellés afin d’en faciliter la recherche. Il est également possible d’enregistrer dans AI Catalog des modèles de fournisseurs externes, dont OpenAI, AWS, Google et d’autres, ou alors des modèles internalisés, comme les NIM Nvidia déployés sur site.
Automatiser la gouvernance de la livraison logicielle
Dans cette même veine, cette fois en matière de gouvernance logicielle, JFrog lance AppTrust. Cette fois-ci, il s’agit de constituer un SBOM (Software Bill of Materials) en partant d’un système de gouvernance unifiée associé à JFrog Artifactory. Ce système est censé permettre d’appliquer automatiquement des politiques de conformité afin de certifier des paquets. Dans cet effort de vérification du respect des règles de conformité, JFrog s’appuie sur des « preuves » : en clair, des éléments de pistes d’audit tout au long du cycle de vie du développement logiciel (SDLC).
Elles sont issues d’Artifactory, mais aussi de GitHub Actions et Gradle (attestations de compilation), NightVision (découverte d’API, analyse DAST signé), Shipyard (attestations de tests), Sonar (rapport sur la qualité du code), Dagger (vérification des exécutions), CoGuard (analyse de la configuration de sécurité), Akuity (pistes de déploiement), Akto (tests sur l’OWASP 10), Troj AI (red teaming automatisé) et ServiceNow (demande de vérification à partir des preuves sauvegardées dans Artifactory).
D’autres émetteurs de preuves rejoindront cet écosystème. « Tous ces outils-là fournissent des métadonnées et des sortes de tampons. Chacun met sa signature sur son environnement, sur l’application qui va être délivrée. AppTrust doit fournir une chaîne complète de traçabilité et une automatisation de la certification des applications », assure Fred Simon.
Cette automatisation des vérifications était déjà nécessaire avant l’avènement de ChatGPT. Pour autant, les assistants IA ont amplifié le problème. « La quantité de code généré a grossi très rapidement. Nos clients n’arrivent plus forcément à suivre », constate Fred Simon. « Du même coup, JFrog doit s’adapter afin de permettre aux clients de tester, de déployer beaucoup plus souvent ».
Malgré l’automatisation et le recours de plus en plus fréquent aux outils d’IA générative, JFrog travaillerait « beaucoup pour ne pas retirer la responsabilité de l’humain qui a créé l’outil, les éléments de validation, le code, etc. », avance le chief architect.
JFrog se met à IA agentique
En lien avec ces deux prismes que sont l’intégration de l’IA et la gouvernance de la sécurité logicielle, JFrog développe un système de remédiation agentique. Il s’agit plus particulièrement de s’associer avec GitHub pour automatiser la correction des vulnérabilités. Plus particulièrement, l’éditeur déploie des serveurs MCP (Model Context Protocol) afin que GitHub Copilot puisse se connecter à JFrog Curation et Catalog.
« La plupart des vulnérabilités arrivent après la mise en production des applications. Il s’agit d’accélérer cette phase de vérification en continu, de manière automatique. »
Fred simonCofondateur et chief architect, JFrog
L’assistant interroge les serveurs MCP pour demander une analyse des métadonnées des paquets, de la posture de sécurité et des éléments de conformité appliqués par l’entreprise, en s’appuyant sur des bases de données de CVE. L’agent peut ensuite remplacer les packages potentiellement à risque par ceux qui ont été vérifiés et certifiés.
« La plupart des vulnérabilités arrivent après la mise en production des applications. Il s’agit d’accélérer cette phase de vérification en continu, de manière automatique », présente Fred Simon.
Cette intégration avec GitHub Copilot est disponible depuis les offres de sécurité JFrog Ultimate et Unified. Le serveur MCP n’est pas seulement réservé à la filiale de Microsoft. Celui-ci est accessible en mode beta depuis le mois de juillet 2025 pour les clients ayant une souscription à JFrog Cloud.
Enfin, l’éditeur a présenté JFrog Fly, une future refonte de l’expérience développeur. « Nous avons repensé l’interface utilisateur de la plateforme JFrog et d’Artifactory en particulier », souligne Fred Simon. L’idée est de pouvoir intégrer des chatbots et des agents de programmation à même l’interface de JFrog, mais aussi à travers les IDE des programmeurs. Fly sera compatible avec Cursor, GitHub Copilot, Claude Code. Ces outils pourront être connectés aux gestionnaires de packages JFrog et aux dépôts de code… via le serveur MCP présenté plus haut. Pour l’instant, cette UX se destine plus particulièrement aux petites équipes et aux startups.
JFrog n’est pas le seul à prendre ses virages pour infuser l’IA générative et agentique. GitHub, GitLab, Tabnine, IBM, Datadog, les géants du cloud et bien d’autres entendent convaincre les entreprises d’adopter ces outils. Cependant, les développeurs font encore preuve d’une certaine méfiance. Surtout quand il s’agit de confier à l’IA des tâches critiques, comme la sécurisation de la livraison logicielle, selon une étude de Stack Overflow.
Le 7 août 2025, l’éditeur au plus de 7300 clients a présenté ses résultats financiers du deuxième trimestre fiscal 2025. Son chiffre d’affaires atteignait 127,2 millions de dollars, en hausse de 23 % par rapport à la même période l’année dernière. Ce résultat s’explique par une augmentation des souscriptions à son offre cloud et l’achat de ses produits de sécurité. Des solutions également adoptées par « des acteurs de l’industrie de l’IA ».
