數(shù)字化轉(zhuǎn)型大潮之下，行業(yè)企業(yè)對(duì)于軟件應(yīng)用的研發(fā)和迭代需求暴增，迫切需要DevOps工具提升交付效率，提高業(yè)務(wù)敏捷性。

據(jù)IDC預(yù)測(cè)：到2024年，全球?qū)?huì)有5.2億個(gè)軟件應(yīng)用，超過(guò)60%的企業(yè)每天都會(huì)進(jìn)行版本發(fā)布，而科技企業(yè)每天會(huì)有多個(gè)版本發(fā)布。從軟件交付的趨勢(shì)來(lái)看，一方面很多軟件都會(huì)發(fā)布到邊緣節(jié)點(diǎn)和邊緣設(shè)備上;另一方面，將來(lái)會(huì)有大量與容器相關(guān)的技術(shù)介入。

IDC指出：近年來(lái)，隨著DevOps工具和技術(shù)逐漸成熟，為企業(yè)的DevOps實(shí)施奠定了基礎(chǔ)。中國(guó)企業(yè)對(duì)DevOps總體呈現(xiàn)出積極擁抱、勇于嘗試的態(tài)度。

伴隨企業(yè)軟件應(yīng)用數(shù)量的快速增長(zhǎng)，軟件資產(chǎn)會(huì)越來(lái)越多，如何進(jìn)行軟件版本的管理，如何對(duì)開(kāi)發(fā)、交付、運(yùn)維、安全等進(jìn)行高效地協(xié)同管理，是IT部門面臨的一個(gè)難題。

JFROG——軟件制品領(lǐng)域的領(lǐng)導(dǎo)者

“JFrog的使命是創(chuàng)造一個(gè)從開(kāi)發(fā)人員到設(shè)備之間暢通無(wú)阻的軟件交付世界，我們稱之為流式軟件。更準(zhǔn)確的說(shuō)，是做企業(yè)軟件資產(chǎn)管理倉(cāng)庫(kù)。”JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)如是說(shuō)。

JFrog成立于2008年，2020年在納斯達(dá)克上市，截止 2022 財(cái)年付費(fèi)客戶有7200+，開(kāi)源版本的用戶更是不計(jì)其數(shù)。

JFrog在軟件制品領(lǐng)域擁有絕對(duì)的領(lǐng)導(dǎo)地位，從JFrog的成績(jī)單來(lái)看：財(cái)富100強(qiáng)的企業(yè)中，有89%使用JFrog的軟件;從財(cái)報(bào)數(shù)據(jù)來(lái)看，JFrog在過(guò)去一年的營(yíng)收同比增長(zhǎng)高達(dá)35%;過(guò)去12個(gè)月的續(xù)約留存率達(dá)128%;從細(xì)分市場(chǎng)來(lái)看，全球Top10的科技公司都在用JFrog，全球Top10的金融公司也在用JFrog。

JFrog 平臺(tái)是面向企業(yè)開(kāi)發(fā)者、運(yùn)維人員、安全專員的企業(yè)通用軟件制品管理倉(cāng)庫(kù)，支持了市面上主流的30種不同技術(shù)棧軟件倉(cāng)庫(kù)以及二進(jìn)制包的管理，并且可以輕松和各種CI/CD工具集成，在完整的軟件生命周期里管理二進(jìn)制的構(gòu)建信息，進(jìn)行安全監(jiān)控以及開(kāi)源許可監(jiān)控。

JFrog被認(rèn)為是一個(gè)單一可信源的平臺(tái)，確保軟件交付的一致性和可靠性，所有的構(gòu)建和部署必須通過(guò)這一個(gè)可信源來(lái)發(fā)布。JFrog Artifactory里面存儲(chǔ)了所有的軟件包、容器鏡像以及配置文件，被統(tǒng)一管理，根據(jù)需要進(jìn)行發(fā)布。同時(shí)，因?yàn)橛煽尚旁窗l(fā)布出去，里面有很多DevOps信息，每一個(gè)環(huán)節(jié)都可以追蹤，更加可控。

上圖是JFrog軟件供應(yīng)鏈管理平臺(tái)的整體構(gòu)架。軟件在構(gòu)建完成后通常會(huì)存儲(chǔ)在JFrog Artifactory制品倉(cāng)庫(kù)里;接下來(lái)通過(guò)JFrog Xray和JFrog Advanced Security對(duì)制品倉(cāng)庫(kù)里的相關(guān)存儲(chǔ)軟件以及二進(jìn)制包進(jìn)行安全檢測(cè)、漏洞審查;如果未發(fā)現(xiàn)安全問(wèn)題，則通過(guò)JFrog Distribution分發(fā)到各數(shù)據(jù)中心(如兩地三中心)、云環(huán)境，甚至是混合云環(huán)境;最后通過(guò)這些環(huán)境，運(yùn)用JFrog Connect技術(shù)發(fā)布到IoT設(shè)備上。JFrog Mission Control可視化平臺(tái)可監(jiān)控JFrog平臺(tái)上的整個(gè)動(dòng)態(tài)、工作負(fù)載和性能表現(xiàn)。

JFrog ARTIFACTORY的五大核心能力

作為JFrog DevOps 平臺(tái)的核心，JFrog Artifactory制品倉(cāng)庫(kù)提供五大核心能力。

一是全語(yǔ)言、統(tǒng)一維護(hù)。代替 ftp、nexus、harbor、svn，JFrog支持30多種不同技術(shù)棧軟件倉(cāng)庫(kù)，同時(shí)支持Docker鏡像。作為唯一可信源制品庫(kù)，JFrog Artifactory可對(duì)全語(yǔ)言配置文件進(jìn)行統(tǒng)一管理，可大幅減少維護(hù)成本，《DevOps 成熟度》可達(dá)制品庫(kù)成熟度4+級(jí)標(biāo)準(zhǔn)。

二是高可用、0宕機(jī)。很多企業(yè)管理軟件涉及關(guān)鍵性業(yè)務(wù)，甚至是核心業(yè)務(wù)，絕不能出現(xiàn)宕機(jī)行為，因此高可用是非常重要的指標(biāo)。JFrog 支持本地多活、雙活以及集群管理，同時(shí)也支持兩地三中心、不同的地域之間互為熱備份，可線性擴(kuò)展，支持滾動(dòng)升級(jí)，能夠保障開(kāi)發(fā)和部署不間斷，運(yùn)維不背鍋。

三是支持DevOps全流程的管理和元數(shù)據(jù)級(jí)質(zhì)量度量。在JFrog 平臺(tái)上，每個(gè)環(huán)節(jié)都可以記錄其狀態(tài)，記錄軟件包關(guān)聯(lián)的Jira ID，包括構(gòu)建信息、漏洞掃描結(jié)果、測(cè)試結(jié)果 等信息，提供豐富的元數(shù)據(jù)信息記錄。在軟件的整個(gè)流通環(huán)節(jié)中，所有信息都被傳遞，同時(shí)也可以被溯源，確保軟件質(zhì)量與安全的可靠可信。

四是實(shí)時(shí)同步、快速發(fā)布。軟件構(gòu)建完成后會(huì)分發(fā)到各個(gè)中心及邊緣節(jié)點(diǎn)，軟件每天的傳輸壓力是非常大的。JFrog具備多環(huán)境實(shí)時(shí)同步能力、按需或增量分發(fā)到邊緣節(jié)點(diǎn)的能力，支持P2P下載能力，面對(duì)上萬(wàn)并發(fā)下載的場(chǎng)景，可以做到基于checksum去重，只傳輸新增的部分，從而節(jié)省帶寬和流量，解決多地團(tuán)隊(duì)制品協(xié)同管理問(wèn)題，加速制品分發(fā)。

五是開(kāi)源合規(guī)檢測(cè)。如今，很多軟件在開(kāi)發(fā)的過(guò)程中會(huì)引用開(kāi)源組件，這會(huì)帶來(lái)一定的開(kāi)源合規(guī)風(fēng)險(xiǎn)。外來(lái)組件中可能存在漏洞或惡意代碼，JFrog通過(guò)進(jìn)行開(kāi)源掃描識(shí)別高危漏洞包，向用戶提示潛在的風(fēng)險(xiǎn)，阻止受染的包上線;同時(shí)也可檢查企業(yè)內(nèi)部是否有不合規(guī)的開(kāi)源許可，減少排查漏洞的人工成本，減少漏洞、使用場(chǎng)景不合規(guī)等情況所帶來(lái)的不可估量的損失。

董任遠(yuǎn)介紹：JFrog制品倉(cāng)庫(kù)中存儲(chǔ)了Devops數(shù)據(jù)的存儲(chǔ)庫(kù)，在統(tǒng)一管理企業(yè)二進(jìn)制軟件資產(chǎn)的前提下，通過(guò)與企業(yè)交付流程中不同工具鏈的集成，收集軟件生命周期中的各類信息，對(duì)原本不透明的二進(jìn)制制品進(jìn)行管理，提供豐富的元數(shù)據(jù)信息記錄，確保軟件質(zhì)量與安全的可靠可信。

JFrog支持所有主流的通用技術(shù)棧，支持無(wú)限擴(kuò)展，可以自如應(yīng)對(duì)各種復(fù)雜的開(kāi)發(fā)場(chǎng)景，支持高達(dá)上萬(wàn)人的開(kāi)發(fā)團(tuán)隊(duì)規(guī)模。JFrog既有單機(jī)版產(chǎn)品，也支持復(fù)雜集群，JFrog在中國(guó)的客戶甚至達(dá)到了上百個(gè)集群的規(guī)模。同時(shí)JFrog具備多環(huán)境同步能力，支持對(duì)混合云、多云的統(tǒng)一部署，真正實(shí)現(xiàn)了軟件供應(yīng)鏈端到端的管理。

落實(shí)安全左移 實(shí)現(xiàn)端到端軟件供應(yīng)鏈安全

針對(duì)安全左移、DevSecOps等發(fā)展趨勢(shì)，JFrog提供兩大安全解決方案：一是JFrog Xray，可以實(shí)現(xiàn)軟件SCA、安全左移，風(fēng)險(xiǎn)阻斷以及開(kāi)源治理等功能;二是JFrog Advanced Security，它在安全掃描領(lǐng)域進(jìn)一步加強(qiáng)，可對(duì)上下文進(jìn)行安全風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)檢測(cè)，惡意代碼管控等，可以判斷漏洞是否被調(diào)用，并給出相關(guān)安全提示，讓安全管理團(tuán)隊(duì)可以盡早對(duì)潛在的安全風(fēng)險(xiǎn)進(jìn)行管控。

同時(shí)，該方案還可以對(duì)源代碼進(jìn)行掃描，能夠發(fā)現(xiàn)供應(yīng)鏈預(yù)注入的惡意代碼，以及配置管理當(dāng)中暴露的一些安全問(wèn)題，例如糟糕的加密、操作系統(tǒng)問(wèn)題、私鑰和憑證等。

JFrog作為一家軟件制品管理平臺(tái)供應(yīng)商，披露漏洞對(duì)于社區(qū)而言意義重大。迄今為止，JFrog已向社區(qū)等組織發(fā)布了720多個(gè)漏洞報(bào)告，1300余個(gè)惡意軟件包報(bào)告，500余個(gè)0day漏洞報(bào)告，同時(shí)已發(fā)布了16款開(kāi)源軟件安全工具，幫助社區(qū)對(duì)用戶開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)進(jìn)行掃描和防護(hù)。

JFrog披露漏洞，一方面幫助軟件開(kāi)發(fā)者以及用戶了解相關(guān)的安全與威脅，從而避免和減少相關(guān)的安全風(fēng)險(xiǎn);另一方面可以促進(jìn)社區(qū)的共同關(guān)注、討論并解決問(wèn)題，整體提高軟件的安全度、可信度以及可靠性。

董任遠(yuǎn)強(qiáng)調(diào)：“JFrog有一個(gè)非常重要的能力就是跨環(huán)境多語(yǔ)言，我們?cè)诒镜夭渴鹂梢杂卸嗉骸⒖鐓^(qū)域、跨地域，同時(shí)也提供云解決方案，既有私有云方案，也有公有云方案，我們和AWS、微軟Azure、Google合作，同時(shí)我們還有SaaS版本，客戶根據(jù)需要可以到云平臺(tái)上購(gòu)買相關(guān)的JFrog服務(wù)。”

聚焦中國(guó)市場(chǎng) 加大投入滿足中國(guó)客戶需求

據(jù)了解，JFrog早期通過(guò)授權(quán)方式在中國(guó)開(kāi)展相關(guān)業(yè)務(wù)部署，伴隨數(shù)字化轉(zhuǎn)型提速，JFrog于2021年正式進(jìn)入中國(guó)市場(chǎng)，至今在中國(guó)已有400家客戶。各行各業(yè)只要有軟件開(kāi)發(fā)需求的企業(yè)，都是JFrog的潛在客戶，而那些在科技領(lǐng)域走得比較前沿的行業(yè)，以及行業(yè)中的頭部企業(yè)基本上都用了JFrog的解決方案。

董任遠(yuǎn)提到，“JFrog非常重視中國(guó)市場(chǎng)，尤其在信創(chuàng)方面，最近我們一直在推進(jìn)與中國(guó)本土操作系統(tǒng)供應(yīng)商、本土芯片廠商以及本土數(shù)據(jù)庫(kù)廠商之間的相互認(rèn)證，響應(yīng)和滿足國(guó)家信創(chuàng)的要求。”

JFrog非常看重能否盡快滿足中國(guó)客戶對(duì)產(chǎn)品功能方面需求的能力。據(jù)悉，JFrog正在考慮加大中國(guó)市場(chǎng)的研發(fā)能力，以更好地滿足客戶的需求。同時(shí)，JFrog希望能夠擴(kuò)展中小企業(yè)客戶，通過(guò)持續(xù)開(kāi)拓合作伙伴，一起把優(yōu)秀的解決方案交付給中國(guó)客戶，讓更多中國(guó)企業(yè)能借助JFrog的DevOps能力以及JFrog Artifactory加速軟件交付，深化數(shù)智轉(zhuǎn)型。