JFrog的創(chuàng)新法則

  • 人閱讀
  • 2023-12-17 21:10:16

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

眾所周知,一家企業(yè)的軟件供應(yīng)鏈由許多部分組成,包含各種來源:開源包、商業(yè)軟件、基礎(chǔ)設(shè)施即代碼(IaC)文件、容器、操作系統(tǒng)鏡像等。這種多樣性意味著企業(yè)的軟件供應(yīng)鏈存在很多風(fēng)險(xiǎn)點(diǎn),而且由于錯誤、疏忽、質(zhì)量差或惡意攻擊,安全威脅涉及面非常廣泛。

尤其是近幾年隨著開源軟件的使用不斷增加,針對開源軟件的攻擊也開始激增,企業(yè)的開發(fā)者們也遇到了很多新的挑戰(zhàn)。比如針對NPM的CVE漏洞,每年每月都在逐年增加CVE(開源組件的漏洞信息)的數(shù)量。數(shù)據(jù)顯示,針對NPM惡意在2023年上半年達(dá)到超過6000個(gè)攻擊。

在開發(fā)人員忙到不可開交時(shí),攻擊者還不斷發(fā)起新攻擊。此時(shí)對于企業(yè)而言,要想快速、安全地構(gòu)建、管理和發(fā)布軟件,就得構(gòu)建一個(gè)從開發(fā)人員到設(shè)備一體化的安全、無阻礙的軟件流程。

JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)

“全球面臨著數(shù)字化轉(zhuǎn)型,軟件資產(chǎn)會越來越多,JFrog作為科技公司的使命是創(chuàng)造從開發(fā)人員到設(shè)備之間暢通無阻的軟件交付世界,我們稱之為流式軟件。”JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)在接受筆者的采訪時(shí)表示,JFrog提供的是全語言制品庫,它集成將近三十種左右最先進(jìn)的開發(fā)語言,是全球第一個(gè)支持所有開發(fā)語言的軟件制品庫管理平臺,并且可以輕松的和各種CI/CD工具集成,在完整的軟件生命周期里管理二進(jìn)制的構(gòu)建信息,安全監(jiān)控,開源許可監(jiān)控。

例如在安全層面,比較新型攻擊方式是通過機(jī)器學(xué)習(xí)模型進(jìn)行“投毒”:利用大模型社區(qū)存儲的大量由各行各業(yè)、各公司貢獻(xiàn)出來的開源模型,將惡意代碼注入到大模型里,來調(diào)用本地的資源機(jī)程序。這種攻擊方式防不勝防,開發(fā)者非常難發(fā)現(xiàn)并且意識到被攻擊。

“面對各種各樣的制品管理安全挑戰(zhàn),很多企業(yè)都缺乏統(tǒng)一管理制品的平臺和統(tǒng)一進(jìn)行掃描的能力,這時(shí)候就需要JFrog來提供幫助。”JFrog中國技術(shù)總監(jiān)王青透露,JFrog平臺主要有兩大核心能力:一是制品的管理,包括Artifactory和Distribution,進(jìn)行版本的上傳和分發(fā),實(shí)現(xiàn)版本的內(nèi)部管理和異地分發(fā);二是和安全相關(guān)的Artifactory,JFrog XRAY加高級掃描,XRAY是專門掃描開源軟件是否存在合規(guī)和安全性的問題。

事實(shí)上,從去年到今年開始,企業(yè)CIO們關(guān)注的問題是如何將DevOps和安全合二為一??v然企業(yè)買了很多安全掃描工具,但安全人員發(fā)現(xiàn)這些安全掃描工具無法和DevOps流程結(jié)合,甚至安全工具的掃描阻止了DevOps流程的快速發(fā)布,這是一對矛盾體,怎樣讓這兩個(gè)團(tuán)隊(duì)結(jié)合起來更好的協(xié)同,是目前各大行業(yè)企業(yè)面臨的很大的挑戰(zhàn)。

JFrog Curation的發(fā)布很好的解決了這一痛點(diǎn):JFrog Curation負(fù)責(zé)在代理倉庫層掃描,即用戶在嘗試用一個(gè)新的版本的開源組件時(shí),JFrog Curation會通過漏洞庫查詢這個(gè)版本有沒有發(fā)現(xiàn)過漏洞,發(fā)現(xiàn)漏洞下載請求會被阻斷,管理員也會收到通知。

Curation產(chǎn)品中包含另外一個(gè)功能CATALOG。它可以提供一個(gè)軟件包的google搜索,程序員想用一個(gè)第三方軟件時(shí),只需利用JFrog CATALOG,從內(nèi)網(wǎng)里就可以搜索,不用下載即可以搜索,為用戶提供了一個(gè)可信的開源軟件依賴庫,從源頭上保障軟件安全。

此外,JFrog SAST負(fù)責(zé)靜態(tài)應(yīng)用程序安全測試,是對JFrog XRAY之前二進(jìn)制掃描功能的補(bǔ)全。在現(xiàn)有的XRAY掃描提供了上下文分析、密鑰監(jiān)測、配置檢查、容器的檢查,能夠幫助開發(fā)者在自己的開發(fā)工具里面直接進(jìn)行代碼掃描,發(fā)現(xiàn)并立刻修復(fù)漏洞。

值得一提的是,對于業(yè)界熱議的AI和ML,JFrog第一時(shí)間做了Hugging Face倉庫的支持,并且能夠掃描Hugging Face倉庫中的License是否合規(guī)。

“如果一個(gè)公司要做ML,Hugging Face幾乎是必選的倉庫。”在王青看來,以前大模型通過一個(gè)大的SQD或者對象存儲管理,這種方式管理基本上非常麻煩,因?yàn)榇竽P臀募诺綄ο蟠鎯?,基本上不知道這個(gè)文件放在那里是做什么的,很容易被誤刪或者覆蓋。為此,JFrog發(fā)布了Artifactory:開發(fā)者通過倉庫代理Hugging Face模型,掃描之后下載到本地,然后調(diào)配,再上傳到Artifactory,最后進(jìn)行模型的發(fā)布。

也就是說,JFrog目前已經(jīng)具備了提供了業(yè)界首款端到端的加速軟件安全的構(gòu)建發(fā)布平臺 Curation,其自帶開源軟件目錄 CATALOG;同時(shí)支持SAST,對現(xiàn)有XRAY漏洞掃描進(jìn)行功能補(bǔ)全;發(fā)布了首次面向Hugging Face的原生集成,通過Artifactory就能實(shí)現(xiàn)對Hugging Face遠(yuǎn)程登陸下載及模型的上傳。

寫在最后

JFrog在全球有7200家客戶,服務(wù)于89%以上的財(cái)富100強(qiáng)客戶。全球有1300多名員工??梢院唵味x為,企業(yè)有軟件開發(fā)人員,即對JFrog有需求。尤其很多企業(yè)正在做數(shù)字化轉(zhuǎn)型,從硬資產(chǎn)向軟資產(chǎn)進(jìn)行遷移。對于JFrog的需求會越來越多。

“JFrog的中國業(yè)務(wù)從2023年看,增長非??欤?022年超過了一倍。”董任遠(yuǎn)透露,JFrog在全球的銷售策略一直是以直銷為主,即直接面對用戶,跟客戶做生意。但由于快速發(fā)展,未來要想繼續(xù)從頭部客戶往中下線中小客戶來做遷移的話,需要更多的合作伙伴來支持。為此,2022年初,JFrog調(diào)整了銷售策略:由原來單一的渠道合作伙伴變成了多地域、多伙伴的模式,不用擔(dān)心技術(shù)資源以及客戶要求,JFrog希望能夠和所有合作伙伴協(xié)作共贏。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )