JFrog,全称为捷蛙科技(北京)有限公司,是一家全球领先的软件技术公司,2008年4月成立于以色列。JFrog专注于软件交付和流式软件领域,为开发人员和企业提供制品库和安全功能,在全球拥有成千上万的客户和数百万用户,成为DevOps数据库与版本和更新管理领域的一个重要标准。其使命是成为一家为世界上所有软件更新提升效能的公司,驱动力是实现“流式软件”的愿景。
JFrog提供了名叫DevOps Platform的全语言制品库,支持丰富的语言开发包,是全球首个支持所有开发语言的软件制品库管理平台,也是唯一能够集成约30种最先进的开发语言的共迎长,凭此吸引了大量的高科技互联网行业用户。
JFrog深入扎根DevOps生态,集成了Jenkins与各种CI/CD工具。现有企业无论使用了什么样的DevOps流水线,都能无缝集成到系统中,实现快速的软件发布。
漏洞数量的与日俱增与原因分析
随着开源软件的使用不断增加,针对开源软件的攻击也在激增,开发者们遇到的新的攻击也越来越多。比如针对NPM的CVE(开源组件的漏洞信息)的数量逐月增长——2023年上半年攻击报告超过6000个。
JFrog认为,一个很重要的原因是,开发者在以往仓库的代码中存在泄露自己的手机号以及ID、IP等密钥信息的情况。通过对网上近400万个软件包扫描,JFrog检测到超过25万个TOKENS,这意味着在互联网NPM等仓库存在大量的TOKEN泄露,黑客通过key就能盗用、登录或者植入远程代码就可以侵入线上系统。
另一个新型攻击方式是通过机器学习模型进行投毒。在大模型社区,有一个非常著名的网站叫做Hugging Face,这个网站上存储了大量由各行各业、各公司贡献出来的开源模型,任何人都可以注册账号上传模型,或者下载别人编辑过的模型文件;黑客借此将恶意代码注入到大模型,利用模型下载随意性进行投毒。这种方式隐非常深,开发者非常难发现并且意识到已经遭受了攻击。
在一份针对著名投行的调查报告中, PIPER|SANDLER、Morgan Stanley 、KeyBanc Capital Markets等三家企业的首席执行官分别表示,“安全仍是重中之重,预计67% 安全性将提升”,“安全软件仍然是CIO 们关心的首要问题——2023 年第2 季度,五大软件支出优先事项中的四项与安全相关”,“安全性的优先级位列最高,其优先级的增幅最大”。
除了安全性的问题,如何将DevOps和安全合二为一进行融合、协同,也是很多企业面临的挑战。虽然企业购置了各类安全扫描工具,但这些工具无法和DevOps流程有效结合,甚至阻止了DevOps流程的快速发布。
JFrog认为,针对各种各样的制品管理安全挑战,企业普遍缺乏统一管理制品平台和统一进行扫描的能力。而JFrog的解决方案正好满足了这方面的需求,帮助开发者们摆脱困境。
两大核心能力与丰富的功能升级
JFrog软件供应链平台基于两大核心能力,一是制品管理, 通用场景(Artifactory)和分发(Distribution)这两个组件实现版本的内部管理和异地分发,二是具有上下文分析功能的 JFrog Advanced Security与主动检测功能的XRAY,前者可在软件投入生产后帮助快速评估关键漏洞和密钥暴露,以便及时执行修复工作,后者主动扫描开源软件是否存在安全、合规问题。
“这些核心能力是很多企业的刚性需求,只要有研发团队就离不开这样的能力来保驾护航。” JFrog大中华区总经理董任远说。
为了解决上述挑战,在今年9月召开的在swampUP大会上,JFrog发布了大量新功能和新产品。JFrog中国技术总监王青对这些升级的核心内容进行了介绍。
JFrog Curation
开发者下载一个软件,通常要先下到本地内网,但等到下载完毕交付安全工具扫描时,如果有漏洞,此时进行扫描已经晚了。Curation实现了在代理仓库层进行扫描,即用户在尝试用一个新的版本的开源组件时,会通过漏洞库查询该版本是否发现过漏洞,如果存在,下载请求会被阻断,管理员也会收到通知。这个可以在远程仓库进行阻断的业界领先的功能,目前仅有JFrog能够实现。
JFrog Curation还通过全新的开源软件(OSS )目录功能,帮助企业防止恶意软件包或漏洞进入其开发环境。该功能改变了传统在使用第三方软件时需要去各种官网搜索该版本的做法,而是基于支持NPM、Python、Docker、Maven、NuGet、Go等多种语言仓库和广泛的搜索结果建立一个可信的开源软件依赖库,以软件包界的“谷歌搜索”方式供开发人员、DevOps 工程师、AppSec 等使用,用户只需搜索内网,确认安全后再下载。
静态应用程序安全测试(JFrog SAST)
SAST功能是对JFrog XRAY现有上下文分析、密钥监测、配置检查、容器检查之前二进制扫描功能的补全,新增了静态应用程序检查功能,这个开箱即用的功能帮助开发者在自己的开发工具中直接进行代码扫描,发现漏洞即可自行修复,还可以通过上下文分析来减少误报,给开发者以极好的体验。
Hugging Face 本地存储库支持
一家公司,如果要做人工智能和机器学习(ML),势必要从互联网下载基础的大模型到本地进行调优。调优之后再上传到通用场景,再进行模型的发布。
这个过程中,Hugging Face是不可缺少的途径之一。
以往大模型下载后是通过SQD或者对象存储来管理,这在对象存储中很难确认某个文件存放的位置、具体的作用,很容易被误删或者覆盖。JFrog第一时间为Hugging Face本地存储库提供支持,并且能够快速扫描和检测恶意机器学习模型,在需要之时阻止其使用,并确保代码许可合规。
这个原生、官方首个支持Hugging Face本地存储库功能的功能,第一时间满足从事AI和ML工作的用户的需求。该功能的测试版现已面向 JFrog Cloud 客户推出。
总体而言,JFrog提供了业界首款端到端的加速软件安全的构建发布平台,该功能称为Curation,自带开源软件目录 CATALOG,同时支持了SAST,对现有XRAY漏洞扫描进行功能补全,也发布了首次面向Hugging Face的原生集成,通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。
完善与升级渠道策略
JFrog在全球的销售策略一直是以直销为主,即直接面对用户。由于业务快速发展,要扩大市场和维护好客户,需要更多合作伙伴的支持。今年,JFrog在渠道大会也颁布了新的渠道政策,邀请更多的渠道伙伴加入其中。
策略之一,是将原来单一的渠道合作伙伴变成了多地域、多伙伴的模式,国内在北京、上海、广州、深圳、香港、台湾都有了本地的合作伙伴,带动了业务的增长。该项策略的调整始于2022年之初。据悉,这样的成功经验也将复制到全球。
策略之二,是对合作伙伴没有级别之分,一视同仁。传统分销有金牌、银牌、铜牌等级别之分,每个级别都要求投入不同的资源。对JFrog来说,不论规模大小,只要愿意投入、愿意合作,就都欢迎加盟,希望能够和所有协作共赢,合作伙伴也不用担心技术资源缺乏,不用担心客户要求苛刻,诸如POC、测试等方面的能力都由JFrog提供。
策略之三,是客户优先的渠道合作伙伴计划。针对使用DevOps平台、有很多需要进行二次开发工作,或者需要咨询服务的客户,JFrog希望代理商通过培训提升能力,未来能够完成一些增值的工作。
看好中国市场,持续加大投入
中国市场是全球最大的开发者社区,还有突飞猛进的本地技术、国产自研的芯片以及自主开发的操作系统与多样的软件。从2022年起正式进入中国以来,JFrog持续在加大投入,建立了最大规模的开发团队,与供应链上的各个环节都在打通和连接;目前,公司在中国大陆有300多家客户,港台地区有200多家客户,客户数量持续增长。
2023年,JFrog在中国市场的业务增长非常快,增速比2022年提升了一倍,为此面向中国市场进行了大量产品和渠道的调整与优化。预计2024年仍将保持高速的增长。
对于中国市场,JFrog保持乐观的态度。董任远表示,秉持着“In China, For China”, JFrog加强了研发,壮大了技术团队,希望能够帮助客户建设一有中国特色的软件制品管理的模式。