在當今數字化時代,軟件已成為企業數字化轉型的核心驅動力,而軟件供應鏈安全則是確保這一轉型順利進行的基石。隨著企業對于軟件依賴程度的加深,軟件供應鏈的安全性直接關系到軟件產品的完整性、可靠性以及企業的業務連續性。任何在供應鏈中出現的安全漏洞或惡意攻擊,都可能迅速蔓延,對企業造成不可估量的損失。因此,確保軟件供應鏈的安全、高效與可控,已成為企業數字化轉型過程中不可忽視的重要環節。
JFrog,作為全球領先的軟件供應鏈平臺提供商,深知軟件供應鏈安全的重要性。JFrog通過其創新的EveryOps理念,致力于幫助企業構建一個從代碼到云端的全面、安全、高效的軟件交付體系。近日,JFrog大中華區和日本地區總經理董任遠與JFrog中國技術總監王青在媒體交流會上,深入分享了公司在軟件供應鏈領域的最新進展,包括對AI技術的支撐、生態建設成果,以及對中國市場的深入洞察與未來展望。
JFrog持續創新 全面提升軟件供應鏈管理與安全能力
在軟件開發過程中,工具鏈的打通一直是困擾企業的難題,不同工具之間的兼容性和數據共享問題,往往導致開發效率低下。近期,JFrog在年度swampUP大會上展示了其在軟件供應鏈領域的最新成果,贏得了廣泛關注和贊譽。
在此次媒體交流會上,王青強調,基于近八千家成功案例,JFrog積累了豐富的經驗,提出了EveryOps概念,旨在以制品庫為核心,全面打通整個DevOps工具鏈。
JFrog的業務不僅局限于制品管理,而是全面擴展到整個軟件供應鏈領域。公司推出了包括制品管理、開源軟件治理、漏洞掃描、運行時安全等在內的全方位解決方案,為企業提供了一站式的軟件供應鏈安全保障。
JFrog Artifactory作為全球唯一的全源制品庫管理,能夠高效管理各類軟件制品;JFrog Curation專注于開源軟件的隔離治理,幫助企業有效應對開源軟件帶來的安全風險;JFrog Xray漏洞掃描則是軟件成分分析的重要工具,能夠精準識別軟件中的安全漏洞。
當前,軟件供應鏈安全管理正面臨嚴峻挑戰,基于軟件供應鏈的攻擊數量急劇增長。為應對這一危機,2023年,JFrog發布了高級掃描套件,該套件能基于上下文分析精準識別并過濾假“陽性”漏洞,大大提升了安全掃描的準確性和效率。
今年9月,JFrog再接再厲,發布了首個運行時安全解決方案——JFrog Runtime。該方案成功將安全性無縫集成到開發流程的各個環節,從源代碼編寫到二進制文件部署,再到生產環境,全面實現DevSecOps任務的自動化,不僅為現代云原生應用開發節省了寶貴時間,還顯著增強了整體安全性。
JFrog Runtime能夠實時監控Kubernetes集群,識別并快速解決安全隱患,確保鏡像完整性并滿足合規性要求。它還能追蹤和管理不同來源的軟件包,確保研發、DevOps和安全團隊的高效合作。值得一提的是,JFrog Runtime關注運行時的鏡像完整性和影響分析,能檢測非法鏡像并警告,同時聚合掃描能力即時發現漏洞風險并提示修復,包括惡意包掃描。此外,JFrog還提供獨有的鏡像一致性檢測功能,確保開發和生產環境中的鏡像一致,避免額外溝通成本或版本錯誤問題。
JFrog Runtime能實時監控Kubernetes集群,識別并快速解決安全隱患,確保運行時的鏡像完整性并滿足合規性要求。它使用戶能追蹤和管理不同來源的軟件包,按環境類型組織存儲庫,并激活 JFrog Xray 策略,最終加強從代碼到運行時的安全性。該解決方案特別關注運行時的鏡像完整性和影響分析,能檢測鏡像來源并警告非法鏡像,同時聚合高級掃描能力,即時發現漏洞風險并提示修復,從而避免應用暴露在高危風險當中。JFrog提供鏡像一致性校驗功能,確保開發和生產環境中的鏡像一致,避免了額外的溝通成本或版本錯誤帶來的問題。
此外,在軟件發布環節,JFrog Distribution助力用戶將軟件從研發中心高效分發至云端或數據中心。針對物聯網設備更新需求,JFrog Connect解決方案,全面覆蓋物聯網設備二進制包的更新流程,確保設備安全穩定運行。
今年,JFrog還推出了JFrog ML解決方案,專注于大模型的運維與管理。JFrog ML利用機器學習技術,為大模型的運維提供模型管理,包括模型供應鏈的編排和部署,助力企業在大模型時代保持領先。
通過一系列創新舉措,JFrog成功打造了一整套完善的軟件供應鏈解決方案,不僅涵蓋對普通制品、開發者制品的管理,還深度集成了安全掃描、版本分發、物聯網設備更新以及大模型持續部署與編排等核心功能。這些功能的無縫整合,進一步鞏固了JFrog在軟件供應鏈領域的領導地位,并為企業客戶提供了更為強大、靈活和高效的服務支持。
JFrog助力提升AI應用的開發效率及安全性
伴隨大模型等AI技術的快速發展,眾多行業企業都在探索AI落地應用的最佳場景。董任遠提到,生成式AI正在深刻改變軟件開發的面貌,它不僅極大地提升了開發效率,還激發了前所未有的創新活力。在此背景下,JFrog積極響應市場需求,通過一系列創新舉措,為企業在AI領域的探索保駕護航。
首先,JFrog與全球加速計算領導者NVIDIA展開了深度合作。通過集成NVIDIA NIM微服務,JFrog幫助企業用戶實現了AI模型在Kubernetes環境中的快速部署和高效訓練。這一合作不僅能夠提升鏡像和模型的拉取速度,有效解決傳統AI模型部署中下載速度慢、依賴外網連接等痛點問題,還賦能企業在本地實現模型化管理,進一步優化了模型訓練流程,助力加速企業的AI應用落地進程。
其次,為了加強對AI的支持,JFrog通過收購Qwak AI,為企業提供了從模型訓練到部署的一站式解決方案。作為模型訓練平臺,Qwak AI能夠迅速搭建完整的模型訓練供應鏈環境,涵蓋模型文件、Python腳本及Kubernetes運行環境等,讓用戶無需關注計算資源等復雜配置,實現了一鍵式模型訓練,簡化了模型訓練流程并加速模型交付。
JFrog還與GitHub實現了深度集成,有效補充了GitHub在制品管理方面的短板。開發者現在只需在GitHub平臺上點擊JFrog鏈接,即可便捷地獲取項目的完整狀態和安全態勢視圖,包括制品的詳細信息、依賴關系及漏洞掃描結果等,從而幫助他們高效地識別并解決由公司高級安全產品發現的潛在漏洞。
JFrog還與GitHub合作推出Copilot Chat擴展插件,為開發者打造了一個強大的AI助手,助其使用 Copilot 快速了解信息并確保可信度,快速選擇已更新、經企業批準且可安全使用的軟件包,顯著減少開發過程中的溝通成本。
此外,JFrog還通過動態項目映射和身份驗證(跨平臺SSO)簡化了集成過程中的認證步驟,并利用Frogbot工具在代碼提交、合并和拉取請求時自動進行安全掃描,確保代碼庫的安全性。同時,雙方合作還實現了從源碼到制品分發再到安全的雙向端到端發布追溯,通過GitHub上的作業摘要頁面和JFrog Artifactory中的軟件物料清單(SBOM),增強了軟件的追溯能力,為用戶提供了統一且高效的端到端解決方案。
值得一提的是,JFrog在AI領域的支撐并不僅限于模型訓練和部署。王青強調:JFrog已經預先做好了應對AI技術帶來的安全挑戰的準備,未來,JFrog將整合其安全掃描能力,確保模型供應鏈的安全性,為企業AI應用提供全面的安全保障。
中國企業軟件供應鏈安全意識顯著增強
據悉,通過持續的技術創新,2024年JFrog在中國市場展現了強勁的發展勢頭。董任遠指出,中國市場的四大趨勢尤為值得關注。首先,中國客戶在面對多樣化的開發運維工具時,逐漸認識到整合的重要性。其次,數字化轉型的深入推進,使得企業對JFrog解決方案的依賴程度不斷加深。第三,隨著中國企業加速全球化布局,海外數據中心的部署需求激增。最后,企業對軟件供應鏈安全的重視程度顯著提升。
隨著全球軟件供應鏈安全需求的日益增長,JFrog憑借其在海外部署及軟件物料清單(SBOM)生成方面的卓越能力,成功吸引了大量中國出海客戶的關注與信賴。董任遠提到:“眾多客戶已選擇將JFrog的先進技術與解決方案部署于海外數據中心。這些客戶基于SBOM功能可以一鍵式生成軟件物料清單,交由不同區域的機構進行產品合規的審查。”
展望未來,隨著中國企業對軟件供應鏈安全意識的不斷提升,將更加注重在開發初期對第三方產品進行全面檢測,以迅速識別并消除潛在風險。這一趨勢無疑為JFrog在中國市場的持續增長奠定了堅實基礎。我們有理由相信,JFrog將繼續引領行業潮流,為中國及全球企業提供更加安全、高效的軟件供應鏈解決方案,共同迎接數字化時代的挑戰與機遇。
京公網安備 11010502049343號