作者:王聪彬
JFrog最近召开了一年一度的swampUP大会,“EveryOps”再次成为焦点。JFrog一直致力于解决DevOps领域的痛点,实现工具链的全面打通。制品库管理是DevOps的核心,JFrog凭借全球首个支持所有语言的软件制品库管理平台,正以制品库为中心,打通整个DevOps工具链。
JFrog的业务已经从制品管理延伸到整个软件供应链管理,除了核心的全球唯一的全源制品库管理JFrog Artifactory外,还提供应用于开源软件隔离治理的JFrog Curation、开源漏洞扫描JFrog Xray、高级扫描JFrog Advanced Security、高级扫描套件Runtime Security、用于软件发布的JFrog Distribution、物联网管理平台JFrog Connect,以及今年最新的实现对大模型运维提供模型管理的JFrog ML。
今年9月,JFrog又发布首个运行时安全解决方案JFrog Runtime,使企业能够将安全性无缝集成到开发流程的每一个环节,贯穿源代码编写,二进制文件部署和生产。
“软件供应链管理依旧面临挑战,业界基于软件供应链的攻击呈现了100倍的增长。”JFrog中国技术总监王青谈到,从整个软件供应链流程中可以看到,在软件包创建、打包、分发、部署,都会出现各种各样的网络攻击行为。
JFrog中国技术总监王青
JFrog Runtime可以在运行时实时监控Kubernetes集群,协助团队识别、优先处理、快速解决安全隐患,特别是在镜像完整性和漏洞管理方面,为开发人员节省宝贵的时间并加强合规性。
JFrog Runtime主要在镜像完整性检查和运行时的影响两方面发现潜在安全隐患。
镜像完整性检查:确保所有镜像均从Artifactory可信仓库调取,防止恶意镜像或漏洞包绕过安全保护进入生产环境,若镜像非来自可信来源,系统将立即发出警告。
运行时影响:实时检测Pod中的漏洞和优先级,帮助安全团队迅速修复高危漏洞。即使在运行中出现高风险,系统也会自动预警,及时指导应对。JFrog还同时提供恶意包扫描,检测Kubernetes集群中的潜在攻击。
而且GitHub的全新作业摘要页面为开发者提供了每个GitHub Actions工作流运行和安全状态的快速视图,使开发者能够查看构建输出的软件包,并轻松跳转到JFrog Artifactory中查看具体位置,再返回原页面,实现了从源码到制品发布再到安全的双向端到端发布追溯。
多方联手,推动开发与安全的高效融合
通过与NVIDIA NIM微服务的集成,JFrog能够为企业提供一个本地化的模型管理平台,允许企业直接从Artifactory中调取并缓存NVIDIA模型,集成不仅加快了模型的部署速度,也确保了模型在不同环境中的一致性和安全性。
同时,JFrog Xray的恶意模型扫描功能为AI模型库提供了强有力的安全保障,及时检测和屏蔽恶意模型,帮助企业规避安全隐患,为大规模、安全的AI模型部署保驾护航。
为了优化开发者的使用体验,JFrog在swampUP还宣布了与GitHub的全新集成,为开发者提供能够呈现项目状态和安全态势的综合视图。开发者在GitHub构建页面即可直观查看JFrog提供的制品存储与安全信息,快速解决高级安全产品检测出的潜在漏洞,无需跳转到JFrog平台,提升了效率。
集成将提供一种更简单、更安全的方式,从而实现在两个平台上追踪从源代码到所生成的二进制文件的代码周期。
JFrog和GitHub还推出了Copilot Chat扩展插件,将Copilot 与JFrog的制品元数据结合。开发者可以快速了解并确保信息的可信度,快速选择已更新、经企业批准且可安全使用的软件包,减少了文档搜索与沟通成本,为开发过程和安全监测带来了便捷。
深化市场,筑牢中国软件供应链安全防线
2024年JFrog在中国市场,从技术创新到业务发展都取得了显著效果,实现了持续的增长。在多年的发展中,JFrog大中华区和日本地区总经理董任远看到中国市场在开发运维和软件供应链管理方面有四大特点:
第一,多样化工具的整合需求日益增加:在中国市场,企业在开发和运维中通常采用多样化的工具组合,其中既包含开源工具,也有闭源工具。这些工具虽然具备各自的独特功能,但在运维端整体效用有限。近年来,随着数据量和流量需求的迅速增长,企业各环节的工具难以有效协同,导致开发运维出现瓶颈。因此,2024年越来越多的中国企业选择使用JFrog整合分散的工具,构建统一的制品安全和交付管理平台,以此提高整体效率并减少运维复杂性。
第二,数字化转型需要供应链安全保障:近年来,积极推进数字化转型的企业受到的外部影响也就越少。中国企业的数字化转型还在持续推进,JFrog解决方案则可以为企业的软件供应链安全提供保障。
第三,出海加速对跨国数据中心的管理需求:伴随中国企业出海步伐的加快,不少企业在海外市场建立了数据中心部署并存储客户数据,同时与总部保持紧密的协作。所以越来越多的中国企业选择将JFrog的技术和解决方案部署在海外数据中心,更便捷地进行跨境管理。此外,JFrog提供的SBOM(软件物料清单)功能能够帮助企业应对不同区域的合规要求,满足当地政策和市场的合规审查需求。
第四,软件供应链安全意识的提升:中国企业在软件供应链安全方面的意识显著提升,过去企业往往在制品开发完成后才进行安全扫描,但现在许多客户在开发初期便对所用的第三方组件进行严格检测,以尽早发现潜在隐患,也提高了供应链管理软件的使用。
JFrog预期2025年中国市场将继续保持高速增长,特别是在制造业。随着中国汽车行业的蓬勃发展,不仅满足国内市场需求,还将大规模出口至海外,汽车领域也因此展现出无限的潜能与机遇。
同时JFrog也在加强在大中华区和日本的市场布局,今年进一步扩大了合作伙伴网络,在关键业务应用与更多第三方业务打通,持续推动软件供应链的安全发展。
热门跟贴