傳統(tǒng)的軟件開發(fā)到交付中間會(huì)有很多環(huán)節(jié)，比如開發(fā)、測(cè)試、運(yùn)維、數(shù)據(jù)中心、設(shè)備，通常每個(gè)環(huán)節(jié)都要有不同的工作流程，JFrog的使命就是讓這些工作流程更加順暢。在近日舉辦的線上分享會(huì)上，JFrog向業(yè)界媒體分享了全新解決方案和全球合作伙伴計(jì)劃以及JFrog中國市場(chǎng)發(fā)展年度總結(jié)與展望。

　　DevOps和安全合二為一，JFrog幫助用戶實(shí)現(xiàn)快速安全的軟件發(fā)布

　　JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)表示， JFrog之所以叫JFrog，是因?yàn)閯?chuàng)始人希望公司能夠像青蛙一樣不停地向前跳躍，并且通過不斷的跳躍完成一次次升級(jí)，創(chuàng)造從開發(fā)人員到設(shè)備之間暢通無阻的軟件交付世界。JFrog打造流式軟件，并在此基礎(chǔ)上加載了一些新的安全功能，可以使工作人員第一時(shí)間檢查到軟件有哪些漏洞和不安全的因素，為軟件發(fā)布的質(zhì)量、安全性、MLOps和完整性設(shè)定標(biāo)準(zhǔn)。

JFrog大中華區(qū)總經(jīng)理 董任遠(yuǎn)

　　軟件是新一代信息技術(shù)產(chǎn)業(yè)的靈魂，也是各行各業(yè)轉(zhuǎn)型的“數(shù)字基座”。董任遠(yuǎn)表示，進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)，從硬資產(chǎn)向軟資產(chǎn)進(jìn)行遷移，從創(chuàng)建到生產(chǎn)，JFrog平臺(tái)在軟件開發(fā)生命周期的每個(gè)階段都注入二進(jìn)制級(jí)別的安全性，以確保應(yīng)用程序的可追溯性、可靠性、合規(guī)性和安全性。

　　JFrog提供全語言制品庫，支持各種各樣的語言開發(fā)包，是全球第一個(gè)支持所有開發(fā)語言的軟件制品庫管理平臺(tái)。目前JFrog能夠集成將近三十種左右最先進(jìn)的開發(fā)語言。

　　近幾年隨著開源軟件的使用不斷增加，針對(duì)開源軟件的攻擊也開始激增，企業(yè)的開發(fā)者們也遇到了很多新的挑戰(zhàn)。王青表示，開發(fā)者是引入開源組件漏洞的最大群體。開發(fā)工程師在前期不會(huì)主動(dòng)進(jìn)行安全掃描，而是在本地滿足了軟件功能之后再來掃描，這存在重大的軟件供應(yīng)鏈安全隱患。通常這種后期的掃描耗時(shí)很長，一旦發(fā)現(xiàn)問題，開發(fā)者就面臨兩個(gè)選擇：一是延期上線；二是“帶傷”上線，這兩個(gè)選擇都是不好的選擇。

　　JFrog在開發(fā)者遇到的一些新的挑戰(zhàn)中發(fā)現(xiàn)，開發(fā)者在過往倉庫里有可能泄露一些密鑰信息，例如在互聯(lián)網(wǎng)NPM等倉庫存在大量的TOKEN泄露，這是很多企業(yè)沒有發(fā)現(xiàn)的未知的數(shù)據(jù)。除了密鑰泄露，另外一個(gè)新型攻擊方式是通過機(jī)器學(xué)習(xí)模型進(jìn)行投毒。黑客可以將惡意代碼注入到大模型里，來調(diào)用本地的資源機(jī)程序，通過這種隱藏非常深的方式來實(shí)現(xiàn)基于大模型的投毒。

　　面對(duì)各種各樣的制品管理安全挑戰(zhàn)，很多企業(yè)都缺乏統(tǒng)一管理制品的平臺(tái)和統(tǒng)一進(jìn)行掃描的能力。JFrog中國技術(shù)總監(jiān)王青表示，從去年到今年開始，CIO們關(guān)注的問題是，在DevOps和安全合二為一如何融入起來，讓DevOps團(tuán)隊(duì)與安全團(tuán)隊(duì)實(shí)現(xiàn)更好的協(xié)作，這是很多企業(yè)面臨的挑戰(zhàn)。

JFrog中國技術(shù)總監(jiān)王青

　　為了解決這一挑戰(zhàn)JFrog今年發(fā)布了很多新功能和新產(chǎn)品，其中JFrog Curation這個(gè)功能解決了很大的痛點(diǎn)。怎樣把掃描左移到最左側(cè)，這就需要支持開發(fā)者在流水線掃描，JFrog Curation做的是在代理倉庫這一層掃描，即用戶在嘗試用一個(gè)新的版本的開源組件時(shí)，JFrog Curation會(huì)通過漏洞庫查詢這個(gè)版本有沒有發(fā)現(xiàn)過漏洞，如果有，下載請(qǐng)求會(huì)被阻斷，管理員也會(huì)收到通知。這是業(yè)界領(lǐng)先的，可以在遠(yuǎn)程倉庫進(jìn)行阻斷的，目前僅有JFrog能夠?qū)崿F(xiàn)的功能。

　　此外，JFrog Curation自帶開源軟件目錄 CATALOG，同時(shí)支持了SAST，對(duì)現(xiàn)有XRAY漏洞掃描進(jìn)行功能補(bǔ)全，也發(fā)布了首次面向Hugging Face的原生集成，通過Artifactory就能實(shí)現(xiàn)對(duì)Hugging Face遠(yuǎn)程登陸下載及模型的上傳。

　　王青表示，JFrog從制品庫管理就開始提供掃描能力，開發(fā)者在嘗試引入開源軟件包時(shí)，會(huì)在第一時(shí)間被告知安全問題，而不會(huì)等到上線前才發(fā)現(xiàn)，這是Jfrog區(qū)別于其它安全工具的核心價(jià)值。具體來說，JFrog發(fā)布的新功能包括XRAY的漏洞掃描，能夠第一時(shí)間在開發(fā)者的工具鏈中識(shí)別第三方軟件有沒有高危漏洞，讓開發(fā)者有安全的意識(shí)主動(dòng)修復(fù)。此外，Jfrog還可以做到更加強(qiáng)制，在代碼合并時(shí)主動(dòng)進(jìn)行安全掃描，讓開發(fā)者的Leader或安全的同事在代碼入庫時(shí)做到阻斷，以此保證軟件交付更加安全順暢。

　　JFrog生態(tài)建設(shè)持續(xù)完善，不斷加大對(duì)中國市場(chǎng)的投入

　　除了產(chǎn)品功能創(chuàng)新，JFrog也在積極拓展合作伙伴生態(tài)。JFrog渠道合作伙伴計(jì)劃旨在增強(qiáng)合作伙伴的技術(shù)與業(yè)務(wù)能力，并將客戶置于一切的核心。JFrog渠道合作伙伴計(jì)劃注重協(xié)作，提供直接的激勵(lì)措施和計(jì)劃福利，旨在最大程度滿足客戶的需求偏好。

　　關(guān)于生態(tài)方面，JFrog對(duì)于中國非常重視，針對(duì)中國市場(chǎng)，JFrog從2022年初開始就做了一項(xiàng)調(diào)整，由原來單一的渠道合作伙伴變成了多地域、多伙伴的模式。現(xiàn)在在北京、上海、廣州、深圳、香港、臺(tái)灣都有本地的合作伙伴，由原來一家合作伙伴變成了多家。董任遠(yuǎn)表示：“從2022年起JFrog正式進(jìn)入中國以來，我們不停地在加大投入本地的技術(shù)支持、本地研發(fā)、本地的售前。首先是技術(shù)上的投入，同時(shí)在合作伙伴和銷售上也增大了團(tuán)隊(duì)?！?/p>

　　值得一提的是，針對(duì)中國市場(chǎng)對(duì)國產(chǎn)CPU、國產(chǎn)操作系統(tǒng)以及國產(chǎn)數(shù)據(jù)庫環(huán)境的特殊要求，JFrog也做了一些改變，和國產(chǎn)設(shè)備、國產(chǎn)軟件、硬件都做了相關(guān)的兼容性適配。

　　目前，JFrog在大中華地區(qū)發(fā)展勢(shì)頭好，擁有近400-500家客戶，超過30家合作伙伴?！癑Frog中國業(yè)務(wù)2023年增長非?？?，比2022年超過了一倍。預(yù)計(jì)2024年也將保持高速增長。”董任遠(yuǎn)透露，“我們秉持著‘In China, For China’，加大了研發(fā)，加大了技術(shù)團(tuán)隊(duì)，希望在中國能夠幫助中國的客戶建設(shè)一種有中國特色的軟件制品管理的模式?！?/p>