传统的软件开发到交付中间会有很多环节,比如开发、测试、运维、数据中心、设备,通常每个环节都要有不同的工作流程,JFrog的使命就是让这些工作流程更加顺畅。在近日举办的线上分享会上,JFrog向业界媒体分享了全新解决方案和全球合作伙伴计划以及JFrog中国市场发展年度总结与展望。
DevOps和安全合二为一,JFrog帮助用户实现快速安全的软件发布
JFrog大中华区总经理董任远表示, JFrog之所以叫JFrog,是因为创始人希望公司能够像青蛙一样不停地向前跳跃,并且通过不断的跳跃完成一次次升级,创造从开发人员到设备之间畅通无阻的软件交付世界。JFrog打造流式软件,并在此基础上加载了一些新的安全功能,可以使工作人员第一时间检查到软件有哪些漏洞和不安全的因素,为软件发布的质量、安全性、MLOps和完整性设定标准。
JFrog大中华区总经理 董任远
软件是新一代信息技术产业的灵魂,也是各行各业转型的“数字基座”。董任远表示,进行数字化转型的企业,从硬资产向软资产进行迁移,从创建到生产,JFrog平台在软件开发生命周期的每个阶段都注入二进制级别的安全性,以确保应用程序的可追溯性、可靠性、合规性和安全性。
JFrog提供全语言制品库,支持各种各样的语言开发包,是全球第一个支持所有开发语言的软件制品库管理平台。目前JFrog能够集成将近三十种左右最先进的开发语言。
近几年随着开源软件的使用不断增加,针对开源软件的攻击也开始激增,企业的开发者们也遇到了很多新的挑战。王青表示,开发者是引入开源组件漏洞的最大群体。开发工程师在前期不会主动进行安全扫描,而是在本地满足了软件功能之后再来扫描,这存在重大的软件供应链安全隐患。通常这种后期的扫描耗时很长,一旦发现问题,开发者就面临两个选择:一是延期上线;二是“带伤”上线,这两个选择都是不好的选择。
JFrog在开发者遇到的一些新的挑战中发现,开发者在过往仓库里有可能泄露一些密钥信息,例如在互联网NPM等仓库存在大量的TOKEN泄露,这是很多企业没有发现的未知的数据。除了密钥泄露,另外一个新型攻击方式是通过机器学习模型进行投毒。黑客可以将恶意代码注入到大模型里,来调用本地的资源机程序,通过这种隐藏非常深的方式来实现基于大模型的投毒。
面对各种各样的制品管理安全挑战,很多企业都缺乏统一管理制品的平台和统一进行扫描的能力。JFrog中国技术总监王青表示,从去年到今年开始,CIO们关注的问题是,在DevOps和安全合二为一如何融入起来,让DevOps团队与安全团队实现更好的协作,这是很多企业面临的挑战。
JFrog中国技术总监王青
为了解决这一挑战JFrog今年发布了很多新功能和新产品,其中JFrog Curation这个功能解决了很大的痛点。怎样把扫描左移到最左侧,这就需要支持开发者在流水线扫描,JFrog Curation做的是在代理仓库这一层扫描,即用户在尝试用一个新的版本的开源组件时,JFrog Curation会通过漏洞库查询这个版本有没有发现过漏洞,如果有,下载请求会被阻断,管理员也会收到通知。这是业界领先的,可以在远程仓库进行阻断的,目前仅有JFrog能够实现的功能。
此外,JFrog Curation自带开源软件目录 CATALOG,同时支持了SAST,对现有XRAY漏洞扫描进行功能补全,也发布了首次面向Hugging Face的原生集成,通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。
王青表示,JFrog从制品库管理就开始提供扫描能力,开发者在尝试引入开源软件包时,会在第一时间被告知安全问题,而不会等到上线前才发现,这是Jfrog区别于其它安全工具的核心价值。具体来说,JFrog发布的新功能包括XRAY的漏洞扫描,能够第一时间在开发者的工具链中识别第三方软件有没有高危漏洞,让开发者有安全的意识主动修复。此外,Jfrog还可以做到更加强制,在代码合并时主动进行安全扫描,让开发者的Leader或安全的同事在代码入库时做到阻断,以此保证软件交付更加安全顺畅。
JFrog生态建设持续完善,不断加大对中国市场的投入
除了产品功能创新,JFrog也在积极拓展合作伙伴生态。JFrog渠道合作伙伴计划旨在增强合作伙伴的技术与业务能力,并将客户置于一切的核心。JFrog渠道合作伙伴计划注重协作,提供直接的激励措施和计划福利,旨在最大程度满足客户的需求偏好。
关于生态方面,JFrog对于中国非常重视,针对中国市场,JFrog从2022年初开始就做了一项调整,由原来单一的渠道合作伙伴变成了多地域、多伙伴的模式。现在在北京、上海、广州、深圳、香港、台湾都有本地的合作伙伴,由原来一家合作伙伴变成了多家。董任远表示:“从2022年起JFrog正式进入中国以来,我们不停地在加大投入本地的技术支持、本地研发、本地的售前。首先是技术上的投入,同时在合作伙伴和销售上也增大了团队。”
值得一提的是,针对中国市场对国产CPU、国产操作系统以及国产数据库环境的特殊要求,JFrog也做了一些改变,和国产设备、国产软件、硬件都做了相关的兼容性适配。
目前,JFrog在大中华地区发展势头好,拥有近400-500家客户,超过30家合作伙伴。“JFrog中国业务2023年增长非常快,比2022年超过了一倍。预计2024年也将保持高速增长。”董任远透露,“我们秉持着‘In China, For China’,加大了研发,加大了技术团队,希望在中国能够帮助中国的客户建设一种有中国特色的软件制品管理的模式。”