首页 > 技术

JFrog的创新法则

2023-12-17 21:10:16      西盟科技资讯   


  众所周知,一家企业的软件供应链由许多部分组成,包含各种来源:开源包、商业软件、基础设施即代码(IaC)文件、容器、操作系统镜像等。这种多样性意味着企业的软件供应链存在很多风险点,而且由于错误、疏忽、质量差或恶意攻击,安全威胁涉及面非常广泛。

  尤其是近几年随着开源软件的使用不断增加,针对开源软件的攻击也开始激增,企业的开发者们也遇到了很多新的挑战。比如针对NPM的CVE漏洞,每年每月都在逐年增加CVE(开源组件的漏洞信息)的数量。数据显示,针对NPM恶意在2023年上半年达到超过6000个攻击。

  在开发人员忙到不可开交时,攻击者还不断发起新攻击。此时对于企业而言,要想快速、安全地构建、管理和发布软件,就得构建一个从开发人员到设备一体化的安全、无阻碍的软件流程。

JFrog大中华区总经理董任远

  “全球面临着数字化转型,软件资产会越来越多,JFrog作为科技公司的使命是创造从开发人员到设备之间畅通无阻的软件交付世界,我们称之为流式软件。”JFrog大中华区总经理董任远在接受笔者的采访时表示,JFrog提供的是全语言制品库,它集成将近三十种左右最先进的开发语言,是全球第一个支持所有开发语言的软件制品库管理平台,并且可以轻松的和各种CI/CD工具集成,在完整的软件生命周期里管理二进制的构建信息,安全监控,开源许可监控。

  例如在安全层面,比较新型攻击方式是通过机器学习模型进行“投毒”:利用大模型社区存储的大量由各行各业、各公司贡献出来的开源模型,将恶意代码注入到大模型里,来调用本地的资源机程序。这种攻击方式防不胜防,开发者非常难发现并且意识到被攻击。

  “面对各种各样的制品管理安全挑战,很多企业都缺乏统一管理制品的平台和统一进行扫描的能力,这时候就需要JFrog来提供帮助。”JFrog中国技术总监王青透露,JFrog平台主要有两大核心能力:一是制品的管理,包括Artifactory和Distribution,进行版本的上传和分发,实现版本的内部管理和异地分发;二是和安全相关的Artifactory,JFrog XRAY加高级扫描,XRAY是专门扫描开源软件是否存在合规和安全性的问题。

  事实上,从去年到今年开始,企业CIO们关注的问题是如何将DevOps和安全合二为一。纵然企业买了很多安全扫描工具,但安全人员发现这些安全扫描工具无法和DevOps流程结合,甚至安全工具的扫描阻止了DevOps流程的快速发布,这是一对矛盾体,怎样让这两个团队结合起来更好的协同,是目前各大行业企业面临的很大的挑战。

  JFrog Curation的发布很好的解决了这一痛点:JFrog Curation负责在代理仓库层扫描,即用户在尝试用一个新的版本的开源组件时,JFrog Curation会通过漏洞库查询这个版本有没有发现过漏洞,发现漏洞下载请求会被阻断,管理员也会收到通知。

  Curation产品中包含另外一个功能CATALOG。它可以提供一个软件包的google搜索,程序员想用一个第三方软件时,只需利用JFrog CATALOG,从内网里就可以搜索,不用下载即可以搜索,为用户提供了一个可信的开源软件依赖库,从源头上保障软件安全。

  此外,JFrog SAST负责静态应用程序安全测试,是对JFrog XRAY之前二进制扫描功能的补全。在现有的XRAY扫描提供了上下文分析、密钥监测、配置检查、容器的检查,能够帮助开发者在自己的开发工具里面直接进行代码扫描,发现并立刻修复漏洞。

  值得一提的是,对于业界热议的AI和ML,JFrog第一时间做了Hugging Face仓库的支持,并且能够扫描Hugging Face仓库中的License是否合规。

  “如果一个公司要做ML,Hugging Face几乎是必选的仓库。”在王青看来,以前大模型通过一个大的SQD或者对象存储管理,这种方式管理基本上非常麻烦,因为大模型文件放到对象存储里,基本上不知道这个文件放在那里是做什么的,很容易被误删或者覆盖。为此,JFrog发布了Artifactory:开发者通过仓库代理Hugging Face模型,扫描之后下载到本地,然后调配,再上传到Artifactory,最后进行模型的发布。

  也就是说,JFrog目前已经具备了提供了业界首款端到端的加速软件安全的构建发布平台 Curation,其自带开源软件目录 CATALOG;同时支持SAST,对现有XRAY漏洞扫描进行功能补全;发布了首次面向Hugging Face的原生集成,通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。

  写在最后

  JFrog在全球有7200家客户,服务于89%以上的财富100强客户。全球有1300多名员工。可以简单定义为,企业有软件开发人员,即对JFrog有需求。尤其很多企业正在做数字化转型,从硬资产向软资产进行迁移。对于JFrog的需求会越来越多。

  “JFrog的中国业务从2023年看,增长非常快,比2022年超过了一倍。”董任远透露,JFrog在全球的销售策略一直是以直销为主,即直接面对用户,跟客户做生意。但由于快速发展,未来要想继续从头部客户往中下线中小客户来做迁移的话,需要更多的合作伙伴来支持。为此,2022年初,JFrog调整了销售策略:由原来单一的渠道合作伙伴变成了多地域、多伙伴的模式,不用担心技术资源以及客户要求,JFrog希望能够和所有合作伙伴协作共赢。

相关阅读