在全球企业数字化转型过程中,应用软件是必不可缺的重要组成部分。随着数字化转型的不断深入,企业的软件资产越来越多,迭代更新速度越来越快,如何管理好软件资产,确保软件安全,也成为摆在大部分企业面前的一项主要挑战。根据IDC的数据显示,到2024年时全球将会有5.2亿个软件应用, 60%以上的企业每天都会发布一个适用自己的版本。
在企业软件资产管理领域,成立于2008年的JFrog算是一家老牌的公司。自成立以来,全球财富100强的公司其中有89%使用JFrog的产品,截止。自2016年进入中国并通过授权代理商的形式进行经营以来,目前为止在中国服务了近400家的客户,金融行业中80%的国有银行+股份制银行均使用JFrog管理企业软件资产。、
JFrog捷蛙(中国)总经理董任远在近期接受记者采访时表示,中国乃至全球数字化转型速度非常快,很多公司软件资产逐渐增加,大家对于软件资产的管理非常重视。作为一家软件制品管理解决方案提供商,JFrog从开发人员的开发到测试,到分发,以及到客户手机端或者应用端,为客户提供了端到端的软件制品管理能力。
五大核心能力赋能企业软件资产管理
JFrog 平台是面向企业开发者、运维人员、安全专员的企业通用二进制管理仓库,支持市面上主流的30种不同技术栈软件仓库以及二进制包的管理,并且能够轻松与各种CI/CD工具集成,在完整的软件生命周期里管理二进制的构建信息、安全监控和开源许可监控。
JFrog正式进入中国的时间是2021年,并通过四大能力为客户创造核心价值。
一是全语言统一维护。JFrog支持30多种不同技术栈软件仓库,支持Docker镜像,提供一个配置文件管理。
二是高可用零宕机。JFrog除支持本地多活双活以及集群管理之外,还同时支持两地三中心不同地域之间相互热备份能力。
三是支持DevOps全流程管理,并为每个环节提供状态记录。例如软件包是否经过测试,是否经过安全检查等等,都会以元数据的形式进行处理,以此来保证所有软件包在仓库里都能够进行溯源。
四是实时发布。软件构建完成之后会分发到各个中心边缘节点,并通过支持P2P下载实现了上万并发下载场景,同时做到了基于checksum去重,只传输新增部分,有效节省带宽与流量。
五是开源合规检测。JFrog在制品仓库中存储了DevOps的元数据,在统一管理企业二进制软件资产的前提下,通过与企业交付流程不同工具链的集成,收集软件生命周期中的诸多信息,对原本不透明的二进制制品进行管理,提供丰富的元数据信息记录,确保软件质量与安全的可靠可信。
据JFrog捷蛙(中国)总经理董任远介绍,JFrog支持主流通用的所有技术栈,支持无限扩展、使用场景和环境,可以自如应对很多复杂开发场景,以及上万的开发团队规模。
据了解,JFrog产品既有单机版,提供了对复杂集群的支持,在中国有些客户甚至达到了上百个集群规模。同时,JFrog具备多环境同步,涉及到混合云、多云的部署,真正的实现了端到端的管理。
董任远表示,跨环境多语言支持是JFrog非常重要的能力,我们在本地部署可以支持多集群、跨区域、跨地域,也支持云的解决方案,包括私有云、公有云,并与 AWS、微软Azure、Google一起合作。同时,还提供了SaaS版本,客户根据自身的实际需要可以到云平台上购买相关的JFrog的服务。
两大安全产品阻断软件供应链安全风险
众所周知,随着数字化程度的不断提升,企业面对的安全风险也越来越严峻。在软件供应链中,从产品的开发到分布,安全风险无处不在,只有时时刻刻进行不停地扫描,以及对漏洞库的更新,才能确保整个供应链的安全。
实际上,JFrog很早就意识到了安全风险,并推出了JFrog Xray和JFrog Advanced Security两款产品,以此来帮助企业阻断安全风险。
借助JFrog Xray,能够实现软件SCA、安全左移,风险阻断以及开源治理的功能。通过JFrog Advanced Security,能够使安全扫描领域进一步加强,实现了漏洞进行上下文的风险分析,风险检测,恶意代码管控,并判断漏洞是否被调用。
据董任远介绍,传统的安全扫描软件只能提供第三方的软件风险是否被引入到自研产品中,JFrog Advanced Security则判断被引入后到底产生了多大的风险,并通过上下文的分析来判断某个个软件风险是否被调用,让安全管理团队可以对潜在的安全风险进行进一步的管控。同时,通过对源代码进行扫描,可以发现恶意代码以及配置管理当中暴露的安全问题。
“JFrog Xray和JFrog Advanced Security产品具有跨时代意义。”董任远表示,JFrog通过收购 Vdoo公司具备了专业庞大的数据安全团队,迄今为止已经向社区等组织发布了720个以上的漏洞报告,1300个恶意软件包报告,500个0 day漏洞报告,同时发布了16款开源软件的安全工具,帮助社区对用户开源软件供应链风险进行扫描和防护。
董任远认为,JFrog作为一家软件制品管理平台供应商,披露漏洞对社区的意义非常重要,一方面JFrog披露漏洞可以帮助软件开发者以及用户了解相关的安全与威胁,从而避免和减少相关的安全风险。另一方面披露漏洞可以促进社区的共同讨论以及解决问题,提高软件的安全、可信度以及可靠性的整体水平。
据介绍,中国的金融类客户对安全性要求比较高,非常迫切的需要Xray服务,不仅在整个部署阶段,同时在后期管理中一样需要时刻的安全扫描。
在中国,为中国
前面提到,2021年JFrog才正式进入中国。那么,JFrog为何会选择此时进入中国?针对中国市场又有哪些具体的举措?在接下来的采访中,董任远进行了详细的解答。‘
董任远告诉记者,中国企业讲究中国速度,发展速度非常快。为此,中国客户对于JFrog的支持以及咨询服务需求量非常大。与国外客户更倾向于买来软件自己安装部署不同的是,中国企业希望由原厂提供相关的咨询服务,帮助客户以最快的方式部署软件,进行数据迁移。所以,JFrog进入中国后的第一要务就是建立一个咨询交付团队,希望将JFrog的软件能够更快的交付给客户,同时帮助客户以最快的方式进行相关数据迁移,以及日常软件bug定位等相关工作。
董任远表示,“在中国,为中国”,JFrog非常重视中国市场,希望与中国的企业合作,建立更强的生态体系,满足中国客户在功能上的各种需求。
据了解,JFrog已经与中国本土操作系统供应商、芯片厂商以及数据库厂商都进行了互相认证,以此来满足国家信创要求。未来,JFrog还将考虑增大中国的研发能力,以满足不同客户的不同需求。