与标准制造相似,最早的软件开发需要在内部构建所有组件,随着时间的推移,集成第三方软件组件的项目数量在不断增加,诸多现代应用都在使用开源组件来快速原型化、开发和交付软件,这也使得企业对软件供应链的高效性、安全性和可靠性提出了更多要求。
作为全球领先的软件供应链平台商,JFrog一直致力于通过创新的EveryOps理念,帮助企业构建从代码到云的全面软件交付能力。“JFrog最早是做制品库出身,在我们看来,制品库作为DevOps环节中最核心的一部分,最大的痛点就是如何进行工具链的打通,经过8000余次的成功案例积累,如今的JFrog致力于以制品库为核心,打通整个DevOps工具链。”JFrog中国技术总监王青在接受采访时表示。
从JFrog的产品矩阵上看,其中既包括JFrog的核心产品产品JFrog Artifactory——全球唯一的全源制品库管理,也有专门应用于开源软件隔离治理的JFrog Curation和用于漏洞扫描的JFrog Xray,这些都是用于软件成分分析的重要工具。
在功能层面上,JFrog也在持续扩张其功能版图,去年JFrog发布了高级扫描套件,能够基于上下文找出假“阳性”的漏洞;今年9月份,JFrog又发布了新功能Runtime Security,能够在用户的Kubernetes集群里快速修复,快速发现生态环境的漏洞,并提供修复建议。
除了制品库核心功能之外,JFrog也有用于软件发布的JFrog Distribution,可以帮助用户把软件快速地从研发中心分发到云上或数据中心;同时,针对物联网设备,JFrog也提供了JFrog Connect,用于提供物联网设备的二进制包更新的整个流程;在今年,JFrog还提供了JFrog ML,用于对大模型的运维提供模型管理,其中涵盖了包括模型部署在内的整个模型供应链编排。
从软件供应链安全管理的方面来看,整个行业依然面临比较大的挑战,有数据显示,基于软件供应链的攻击数量呈现出了100倍的增长,从整个软件供应链流程中也不难看到,在软件包创建、打包、分发、部署的各个阶段,都会有各种各样的网络攻击行为。特别是随着AI技术的普及,越来越多的攻击者也在发起新的攻击向量,例如恶意模型投毒等,目前JFrog已经支持了模型的漏洞扫描功能,通过该功能,可以检测从Hugging Face仓库这样的公网下载的模型是否存在恶意的攻击行为。
此外,JFrog还在今年9月份发布了全新的安全解决方案JFrog Runtime,该解决方案使得企业能够将安全性无缝集成到开发流程中的每一个环节,包括源代码编写和二进制文件部署和生产等等。通过JFrog Runtime,开发人员与安全团之间的协作流程实现了进一步简化,为现代云原生应用开发节省了时间并进一步加强了安全性。它使团队能够实时监控Kubernetes集群,从而根据实际风险来识别、优先处理并快速解决安全隐患。此外,JFrog Runtime还有助于确保镜像完整性并有效满足合规性要求。
据介绍,JFrog Runtime可以使用户追踪和管理不同来源的软件包,并按环境类型组织存储库和激活JFrogXray策略,以加强从代码到运行时的安全性,作为JFrog的一部分,Runtime还能弥合团队之间在可见性和协调性方面和认知差异,优化版本控制和软件包开发,同时确保研发、DevOps和安全团队能够高效协作,为开发人员节省宝贵时间。
王青表示,JFrog Runtime可以从两个方面发现潜在的安全隐患,一是运行时的镜像完整性,具体来说,JFrog Runtime会检测镜像是否是从Artifactory的可信仓库进行拉取的,一旦不是,系统会即刻进行提示;二是运行时的影响,包括Pod包含哪些漏洞,以及这些漏洞的优先级高低,一旦检测到高危漏洞,系统会立即给出提示,从而避免应用暴露在高危风险之中。JFrog同步也提供了针对K8s的恶意包扫描,来避免恶意包带来的攻击隐患。
此外,JFrog还提供了业界独一无二的镜像一致性检测功能,目前市面上的安全工具基本上只有安全功能,缺乏对镜像介质的管理,JFrog的独特之处在于融合了镜像介质统一管理和安全扫描的功能,这样的校验可以保证在Kubernetes运行环境中,Pod拉取的镜像和在Artifactory里存取的镜像是一致的,避免了额外的沟通成本或者版本错误带来的问题。
“JFrog现在可以提供针对软件供应链的一整套解决方案,不仅包括普通的制品、开发者制品,也包括安全扫描、版本分发、LT设备和大模型持续部署持续编排的能力,我们的功能版图已经得到了极大的增强。”王青总结道。
不但如此,在合作伙伴的生态建设方面,JFrog也在今年取得了很多进展,例如在不久前,JFrog宣布了与NVIDIA NIM微服务(NVIDIA AI Enterprise软件平台的一部分)进行新的产品集成。
众所周知,传统的基于NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型,然后再部署到NVIDIA的训练集群中,JFrog提供的功能让用户可以在本地搭建Artifactory,通过代理NGC的NVIDIA模型中心,从而把模型缓存在企业内部,在本地K8s集群拉取镜像和拉取模型的时候,都可以从Artifactory进行拉取,一方面提升了镜像和模型的拉取速度,另一方面也便于企业在本地实现模型化的管理。与此同时,JFrog Xray也能实现对大模型进行恶意模型的扫描,帮助企业规避被模型仓库里恶意模型攻击的隐患。
除了NVIDIA之外,JFrog也和全球领先的代码开发平台GitHub合作发布了全新的集成功能,通过持续深化的合作为开发者提供能够呈现项目状态和安全态势的综合视图,帮助他们快速解决公司高级安全产品发现的潜在漏洞。同时,双方还合作推出Copilot Chat扩展插件,结合JFrog的制品元数据,为开发者打造了强大的AI助手,帮助其快速选择安全可靠的软件包;动态项目映射和身份验证功能(跨平台的SSO)则极大地简化了开发者的认证流程。
纵观2024年至今,JFrog在中国市场呈现出了持续增长的态势,JFrog大中华区和日本地区总经理董任远表示,这主要得益于中国市场的独特特点:
首先,中国客户在开发运维中,往往会使用多样化的开源或闭源工具,这些工具的功能特点各不相同,连通性也比较缺乏,故而导致效用较低。随着数据量和流量吞吐能力的增加,企业面临着开发运维方面的困难。因此在中国已经有很多客户选择整合工具,采用JFrog实现统一的制品安全和交付管理。
其次,数字化转型在中国依然处于持续推进的阶段,对任何一家企业而言,只要做数字化管理,对于JFrog解决方案的依赖和软件供应链安全的完善就是必要的。
再次,中国企业的出海步伐也在加快,在海外建设数据中心时,JFrog的技术和解决方案往往会获得中国客户的青睐,同时,JFrog还为客户提供了包括“SBOM”(软件物料清单)在内的功能,很多企业将产品交付到其他市场的时候,有些地区根据当地政策,需要提供软件物料清单,JFrog能够提供SBOM的功能,可以一键式生成软件物料清单,可以交由不同区域的机构进行产品合规的审查。
最后,中国的企业客户对保障软件供应链安全的意识愈发明显,以往很多客户都是在制品完成开发和已经完成的时候,再做相应的安全扫描,如今很多客户都是在开发第一时间对于所用的第三方产品实现相应的检测,以确保在第一时间内发现潜在隐患,解决问题。
“JFrog的愿景是消除整个DevOps里面的信息孤岛。消除的方式是通过接口的暴露,系统的集成,从而打造BOB(“Best Of Breed”),这种方式是在海外企业非常流行的一种方式,每个点都有专业的工具,我们会通过集成,通过接口打通的方式,来把整个DevOps工具链进行串通。这种方式更适合企业的持久性的发展。随着AI时代的到来,我们也会持续利用AI工具,帮助我们的DevOps进行持续交付,例如供应链智能化、基于AI的漏洞扫描、漏洞修复等等,这些都是JFrog在未来努力的方向。”王青在最后表示。
(9118451)