数字时代,软件的安全合规问题是所有企业都会面临的挑战。随着企业数字化转型进程的深化,如何快速交付可信任的软件和AI应用,成为很多企业关注的话题。为此,JFrog 软件供应链平台应动而生。
JFrog中国技术总监王青认为,JFrog目前核心的功能都在软件供应链管理和开源软件的治理上。他表示,JFrog提供了一整套解决方案,不仅基于普通的制品、开发者的制品,而且还包括安全扫描,版本纷发、LT设备以及大模型持续部署持续编排的能力等等,功能版图得到了极大的增强。
快速交付可信软件和AI
我们知道,DevOps最大的痛点是如何进行工具链的打通,快速且自动化的交付可信版本的软件。为此,JFrog 将近八千家的成功案例进行总结,发布了JFrog 软件供应链平台,以制品库为核心,打通了DevOps工具链,为企业提供端到端的可见性、安全性和控制能力,实现可信版本的自动化交付。
据王青介绍,作为软件供应链平台,JFrog的业务不仅仅涉及制品管理,而是延伸到了整个软件供应链。其中,除了核心的JFrog Artifactory——全球唯一的全源制品库管理之外,还有专门应用于开源软件隔离治理的JFrog Curation,漏洞扫描JFrog Xray等,这些都是软件成分分析的重要工具。
今年9月份,JFrog Runtime Security正式发布,它能够在用户Kubernetes集群里快速修复,快速发现生态环境的漏洞,并且提供修复建议。王青表示,JFrog Runtime 使用户能够追踪和管理不同来源的软件包,按环境类型组织存储库,并激活JFrog Xray 策略,最终加强从代码到运行时的安全性。作为 JFrog 的一部分,Runtime 还能够弥合团队之间在可见性和协调性方面和认知差异,优化版本控制和软件包开发,同时确保研发、DevOps 和安全团队能够高效协作,为开发人员节省宝贵时间。
“除了制品库核心功能之外,我们也有用于软件发布的JFrog Distribution,帮助用户把软件快速地从研发中心分发到云上或者数据中心。” 王青表示,如果您的用户需要有物联网的设备版本进行更新,JFrog还提供了JFrog Connect,该解决方案专门提供物联网设备的二进制包更新的整个流程。
除此之外, JFrog ML(ML即为machine learning)也于今年正式发布,该功能可以实现对大模型的运维提供模型管理,其中涵盖了整个模型供应链编排包括模型的部署。
可以看出,JFrog软件供应链平台为开发过程中所使用和生成的所有软件包、数据和 ML 模型提供唯一可信源,帮助企业实现全自动化的质量控制,确保软件版本最高级别的安全性和合规性。
携手合作打造业界最佳平台
除了发布软件供应链平台以及众多新功能之外,JFrog与业界的合作在今年也有很大的进展。据王青介绍,JFrog通过与NVIDIA合作,帮助企业在本地实现模型化的管理。与此同时,JFrog还与GitHub合作打造了面向 EveryOps 的软件供应链平台,包括DevOps、DevSecOps、MLOps和生成式AI驱动型应用程序。
我们知道,英伟达NIM微服务能够帮助企业快速地把英伟达提供的模型部署到整个K8s 运行环境,达到快速训练模型的目的。在实际使用中,用户会发现这个模型由于下载速度慢,因此在本地拉取的速度非常慢。基于这样的需求,JFrog提供了帮助用户实现本地搭建Artifactory的功能,通过代理NGC的NVIDIA模型中心,把模型缓存在企业内部,在本地KBS集群拉取镜像和拉取模型时,都可以从Artifactory进行拉取。一方面能够提升镜像和模型的拉取速度;另一方面能够帮助企业在本地实现模型化的管理。
王青表示,JFrog Xray还能够对大模型进行恶意模型的扫描,帮助企业规避被模型仓库里恶意模型攻击的隐患。
今年6月,JFrog与GitHub合作,实现了双向集成。据了解,双方共同制定的发展路线图聚焦于源代码和二进制文件之间的无缝导航和可追溯性、GitHub Actions和JFrog Artifactory的持续集成和部署,以及统一的安全检测结果视图,以便为软件供应链安全和跨GitHub和JFrog高级安全产品的策略提供一站式解决方案。此外,通过利用GitHub Copilot来进行的对话和查询制品及流水线状态,以确保项目顺利推进。
为了帮助开发者深入快速了解第三方软件包,JFrog和GitHub还合作推出了 Copilot Chat扩展插件。Copilot 的聊天功能与 JFrog 的制品元数据相结合,为开发者打造了一个强大的 AI 助手,帮助开发者能够使用 Copilot 快速了解并确保这些信息的可信度,快速选择已更新、经企业批准且可安全使用的软件包。
与此同时,双方还合作推出了跨平台的SSO, JFrog利用当前的 OpenID Connect(OIDC)集成改进了 GitHub 存储库和 Artifactory 中 JFrog 项目之间的自动授权和无缝项目映射,开发者无需对每个存储库重新进行身份验证。
在保障安全性方面,GitHub Advanced Security 和 JFrog Advanced Security(包括发现上述 Python 漏洞的扫描程序)安全扫描结果的统一视图可帮助开发者在开发生命周期的早期阶段识别并消除潜在的软件漏洞,从而节省时间成本并降低风险。此外,JFrog 提供的Frogbot工具能够让开发者在对代码进行Commit、 Merge和Pull Request时主动触发JFrog机器人对代码进行扫描,保证每次代码合并请求都会实现一个安全的审核,避免一些安全的漏洞进入到代码库。
王青表示,JFrog和GitHub实现了双向端到端发布追溯,利用 JFrog Artifactory 中保存的软件物料清单(SBOM),增强了软件追溯能力,实现了端到端的,从源码到制品分发再到安全整体的解决方案。
三大特点保持中国市场的高速增长
2024年,JFrog在中国业务实现了持续的增长。分析原因,JFrog大中华区和日本地区总经理董任远认为主要有四个方面的因素。
一是中国客户在开发运维当中,通常使用了多样化的工具,有些是开源的,有些是闭源的,每一个项目工具都有一些自己的功能特点。但是在整个运维当中,效用相对较低。2024年,很多客户利用JFrog来代替零散的工具,从而实现统一的制品安全以及交付管理。
二是中国市场客户正在持续进行数字化转型,对于JFrog解决方案的依赖以及软件供应链安全的完善是必要的。
三是中国企业现在逐渐在加速企业出海,因此有的企业不仅是在中国本地有数据中心,正在其海外的目标市场,也会建立相应的数据中心。
四是中国的企业客户对于保障软件供应链安全的意识越来越明显。现在很多客户都是在开发第一时间对于所用的第三方产品实现相应的检测,以确保在第一时间内发现潜在隐患,解决问题。
谈到与中国企业的合作,董任远表示,软件是要跟上下游打通的,所以生态环境非常重要。在JFrog来看,中国市场生态环境是比较独特的,中国的很多客户都希望JFrog的产品能够部署在信创环境。据介绍,JFrog大概在二三年前就已经开始做国产化布局,并跟所有的国产芯片,软硬件都做了互操作认证。中国也有很多客户现在已经把JFrog部署在它的系统环境下,并且运行了至少有将近一两年的时间。这样的布局,为JFrog在中国市场继续发展提供很好的工具,适用中国市场的科技环境。
谈到未来发展,董任远表示, 2025年中国市场还会保持高速的增长,尤其是在制造业。相信在2025年,JFrog在中国市场将会保持高速的业务增长。
