眾所周知,一家企業的軟件供應鏈由許多部分組成,包含各種來源:開源包、商業軟件、基礎設施即代碼(IaC)文件、容器、操作系統鏡像等。這種多樣性意味著企業的軟件供應鏈存在很多風險點,而且由于錯誤、疏忽、質量差或惡意攻擊,安全威脅涉及面非常廣泛。
尤其是近幾年隨著開源軟件的使用不斷增加,針對開源軟件的攻擊也開始激增,企業的開發者們也遇到了很多新的挑戰。比如針對NPM的CVE漏洞,每年每月都在逐年增加CVE(開源組件的漏洞信息)的數量。數據顯示,針對NPM惡意在2023年上半年達到超過6000個攻擊。
在開發人員忙到不可開交時,攻擊者還不斷發起新攻擊。此時對于企業而言,要想快速、安全地構建、管理和發布軟件,就得構建一個從開發人員到設備一體化的安全、無阻礙的軟件流程。
JFrog大中華區總經理董任遠
“全球面臨著數字化轉型,軟件資產會越來越多,JFrog作為科技公司的使命是創造從開發人員到設備之間暢通無阻的軟件交付世界,我們稱之為流式軟件。”JFrog大中華區總經理董任遠在接受筆者的采訪時表示,JFrog提供的是全語言制品庫,它集成將近三十種左右最先進的開發語言,是全球第一個支持所有開發語言的軟件制品庫管理平臺,并且可以輕松的和各種CI/CD工具集成,在完整的軟件生命周期里管理二進制的構建信息,安全監控,開源許可監控。
例如在安全層面,比較新型攻擊方式是通過機器學習模型進行“投毒”:利用大模型社區存儲的大量由各行各業、各公司貢獻出來的開源模型,將惡意代碼注入到大模型里,來調用本地的資源機程序。這種攻擊方式防不勝防,開發者非常難發現并且意識到被攻擊。
“面對各種各樣的制品管理安全挑戰,很多企業都缺乏統一管理制品的平臺和統一進行掃描的能力,這時候就需要JFrog來提供幫助。”JFrog中國技術總監王青透露,JFrog平臺主要有兩大核心能力:一是制品的管理,包括Artifactory和Distribution,進行版本的上傳和分發,實現版本的內部管理和異地分發;二是和安全相關的Artifactory,JFrog XRAY加高級掃描,XRAY是專門掃描開源軟件是否存在合規和安全性的問題。
事實上,從去年到今年開始,企業CIO們關注的問題是如何將DevOps和安全合二為一。縱然企業買了很多安全掃描工具,但安全人員發現這些安全掃描工具無法和DevOps流程結合,甚至安全工具的掃描阻止了DevOps流程的快速發布,這是一對矛盾體,怎樣讓這兩個團隊結合起來更好的協同,是目前各大行業企業面臨的很大的挑戰。
JFrog Curation的發布很好的解決了這一痛點:JFrog Curation負責在代理倉庫層掃描,即用戶在嘗試用一個新的版本的開源組件時,JFrog Curation會通過漏洞庫查詢這個版本有沒有發現過漏洞,發現漏洞下載請求會被阻斷,管理員也會收到通知。
Curation產品中包含另外一個功能CATALOG。它可以提供一個軟件包的google搜索,程序員想用一個第三方軟件時,只需利用JFrog CATALOG,從內網里就可以搜索,不用下載即可以搜索,為用戶提供了一個可信的開源軟件依賴庫,從源頭上保障軟件安全。
此外,JFrog SAST負責靜態應用程序安全測試,是對JFrog XRAY之前二進制掃描功能的補全。在現有的XRAY掃描提供了上下文分析、密鑰監測、配置檢查、容器的檢查,能夠幫助開發者在自己的開發工具里面直接進行代碼掃描,發現并立刻修復漏洞。
值得一提的是,對于業界熱議的AI和ML,JFrog第一時間做了Hugging Face倉庫的支持,并且能夠掃描Hugging Face倉庫中的License是否合規。
“如果一個公司要做ML,Hugging Face幾乎是必選的倉庫。”在王青看來,以前大模型通過一個大的SQD或者對象存儲管理,這種方式管理基本上非常麻煩,因為大模型文件放到對象存儲里,基本上不知道這個文件放在那里是做什么的,很容易被誤刪或者覆蓋。為此,JFrog發布了Artifactory:開發者通過倉庫代理Hugging Face模型,掃描之后下載到本地,然后調配,再上傳到Artifactory,最后進行模型的發布。
也就是說,JFrog目前已經具備了提供了業界首款端到端的加速軟件安全的構建發布平臺 Curation,其自帶開源軟件目錄 CATALOG;同時支持SAST,對現有XRAY漏洞掃描進行功能補全;發布了首次面向Hugging Face的原生集成,通過Artifactory就能實現對Hugging Face遠程登陸下載及模型的上傳。
寫在最后
JFrog在全球有7200家客戶,服務于89%以上的財富100強客戶。全球有1300多名員工。可以簡單定義為,企業有軟件開發人員,即對JFrog有需求。尤其很多企業正在做數字化轉型,從硬資產向軟資產進行遷移。對于JFrog的需求會越來越多。
“JFrog的中國業務從2023年看,增長非常快,比2022年超過了一倍。”董任遠透露,JFrog在全球的銷售策略一直是以直銷為主,即直接面對用戶,跟客戶做生意。但由于快速發展,未來要想繼續從頭部客戶往中下線中小客戶來做遷移的話,需要更多的合作伙伴來支持。為此,2022年初,JFrog調整了銷售策略:由原來單一的渠道合作伙伴變成了多地域、多伙伴的模式,不用擔心技術資源以及客戶要求,JFrog希望能夠和所有合作伙伴協作共贏。
