當前位置: CompoTech China > 業界資訊 >
JFrog是一個做制品庫出身的公司,制品庫作為DevOps環節中最核心的一部分,DevOps最大的痛點就是如何進行工具鏈的打通,很多企業都有不同的做法。JFrog有將近八千家的成功案例,以制品庫為核心,打通整個DevOps工具鏈。
JFrog提出了一個概念——EveryOps。意在打通整個軟件開發部署的供應鏈體系,為整個體系提升效率和安全保障。
JFrog在swampUP 2024上分享了在網絡安全領域、運維領域的最新創新成果及新的技術解決方案。同時也針對當下市場關于AI、大模型的重要領域公布了新的技術以及與一些重要合作伙伴的協作成果。
Jfrog的軟件供應鏈平臺
JFrog提供了一整套解決方案,不僅是基于普通的制品、開發者的制品,還有安全掃描,版本紛發,LT設備以及大模型持續部署持續編排的能力等等。
JFrog發布了高級掃描套件,能夠基于上下文,找出 假“陽性”的漏洞。在2024年9月份,Jforg發布了新功能,也是新的產品叫Runtime Security,它能夠在用戶Kubernetes集群里快速修復,快速發現生態環境的漏洞,并且提供修復建議。
JFrog除了制品庫核心功能之外,也有用于軟件發布的JFrog Distribution,幫助用戶把軟件快速地從研發中心分發到云上或者數據中心。如果用戶需要有物聯網的設備版本進行更新,JFrog也提供了JFrog Connect,該解決方案專門提供物聯網設備的二進制包更新的整個流程。最后,也是今年最新提供的解決方案——JFrog ML,ML即為machine learning,該功能可以實現對大模型的運維提供模型管理,其中涵蓋了整個模型供應鏈編排包括模型的部署。
NVIDIA的GPU對很多致力于開發大模型的團隊而言必不可少,傳統NVIDIA的模型發布需要從NVIDIA模型中心區拉取模型,把它部署到NVIDIA訓練集群里面去。
“JFrog提供的功能是幫助用戶實現本地可以搭建Artifactory,通過代理NGC的NVIDIA模型中心,能夠把模型緩存在企業內部,在本地KBS集群拉取鏡像和拉取模型的時候,都可以從Artifactory進行拉取。這樣,不僅能夠提升鏡像和模型的拉取速度,還能夠幫助企業在本地實現模型化管理。” JFrog中國技術總監王青說
同時JFrog Xray能夠對大模型進行惡意模型的掃描,幫助企業規避被模型倉庫里惡意模型攻擊的隱患。
安全挑戰貫穿整個軟件供應鏈
JFrog大中華區和日本地區總經理董任遠
“目前,業界當中基于軟件供應鏈的攻擊呈現了100倍的增長”JFrog大中華和日本地區總經理董任遠強調!
在軟件包創建、打包、分發、部署的時候,都會有各種各樣的網絡攻擊行為。為應對這一挑戰,2024年9月份JFrog發布了全新的產品,也是首個運行時安全解決方案——JFrog Runtime,這項解決方案使企業能夠將安全性無縫集成到開發流程的每一個環節——貫穿源代碼編寫,二進制文件部署和生產。
JFrog Runtime簡化了開發人員與安全團隊之間的協作流程,實現了 DevSecOps 任務的自動化,為現代云原生應用開發節省了時間并進一步加強了安全性。它使團隊能夠實時監控 Kubernetes 集群,從而根據實際風險來識別、優先處理并快速解決安全隱患。此外,它還有助于確保鏡像完整性并有效滿足合規性要求。
JFrog Runtime 使用戶能夠追蹤和管理不同來源的軟件包,按環境類型組織存儲庫,并激活 JFrog Xray 策略,最終加強從代碼到運行時的安全性。作為 JFrog 的一部分,Runtime 還能夠彌合團隊之間在可見性和協調性方面和認知差異,優化版本控制和軟件包開發,同時確保研發、DevOps 和安全團隊能夠高效協作,為開發人員節省寶貴時間。
JFrog Runtime可以從兩個方面發現潛在的安全隱患:、
? 運行時的鏡像完整性。有些攻擊行為是通過惡意的鏡像導入,把惡意的鏡像或者漏洞包的鏡像上傳到生產環境,繞過Artifactory,從而實現攻擊。該功能可以檢測對應的鏡像是不是從Artifactory進行拉取,如果不是,系統會即刻進行提示。
? 運行時的影響。這些影響就包括Pod里包含了哪些漏洞,這些漏洞它的優先級分別是什么樣的,應該優先修復哪個?JFrog在運行時這個領域聚合了Xray基本能力以及Advanced Security高級掃描能力。這樣即可實現選取某一個Pod的時候,可以發現它有多少個漏洞,鏡像里包含了什么樣的級別的漏洞風險,使安全團隊立即進行修復。同時,在即使在實際運行Pod之中也有漏洞風險已經在環境里運行時,如果有高危漏洞,系統可以提示用戶立刻采取行動,來避免應用暴露在高危風險當中。JFrog同步也提供了惡意包的掃描,檢測K8s集群,,避免惡意包帶來的攻擊隱患。
此外,Jfrog還提供了鏡像一致性檢測的功能,防止鏡像文件被惡意滲透。
優化漏洞分析 降低企業安全成本
2024年5月,JFrog全球軟件供應鏈發展報告指出,大多數被評為“嚴重”的漏洞評級具有誤導性。Jfrog可幫助企業用戶避免在這些具有誤導性的非嚴重的漏洞方面,浪費太多資源,包括時間資源和人力資源。
“JFrog研究團隊有幾十人的安全專家,他們對業界市面上暴露的CVE進行了二次分析,發現了可能大概有40%的漏洞存在誤導性,本來是中級的漏洞,CVE評論為高級或者嚴重。JFrog對漏洞包進行相應的下調,目的就是為了給開發者進行減負,我們通過深入分析這個包對實際應用場景,給出了下調的建議。這些建議是得到安全專家的認可,所以說我們JFrog的Security advice在我們產品里給用戶額外的價值增加的信息包,我們的用戶就能夠看到這些信息,讓安全進行更準確的分析”董任遠說。
與GitHub深度結合簡化開發流程
如果企業用戶用到了GitHub作為源碼管理平臺和構建平臺,當在GitHub做Artifactory構建的時候,頁面上能夠直觀地看到JFrog的鏈接。以下圖為例,可以清楚看到這次構建它發布了什么樣的包,這些鏈接點擊進入之后,直接跳到JFrog平臺。Jfrog的漏洞掃描信息在這個頁面上也會統一得到展示,開發者不需要再跳轉到JFrog檢查漏洞信息,在GitHub就能完全看見了,非常方便。
為幫助開發者深入快速了解第三方軟件包,JFrog和GitHub還合作推出 Copilot Chat擴展插件,Copilot 的聊天功能與 JFrog 的制品元數據相結合,為開發者打造了一個強大的 AI 助手,幫助開發者能夠使用 Copilot 快速了解并確保這些信息的可信度,快速選擇已更新、經企業批準且可安全使用的軟件包。全新 GitHub Copilot 擴展插件通過在 JFrog 二進制環境中提供有關開源軟件包的深入洞察以及 GitHub 代碼數據。開發者無需搜索文檔或在線論壇,能夠基于安全性和市場應用情況選擇軟件包,減少了大量開發過程和安全監測流程當中的溝通成本。
另一個較有特色的功能是動態項目映射和身份驗證--跨平臺的SSO。開發者在集成的時候,一個繁瑣的步驟就是做認證,JFrog利用當前的 OpenID Connect(OIDC)集成,改進了 GitHub 存儲庫和 Artifactory 中 JFrog 項目之間的自動授權和無縫項目映射,開發者無需對每個存儲庫重新進行身份驗證。
Frog還有一個工具叫Frogbot,當你對代碼進行Commit、 Merge和Pull Request的時候,會主動觸發JFrog機器人對代碼進行掃描,保證每次代碼合并請求都會實現一個安全的審核,避免一些安全的漏洞進入到代碼庫。
GitHub 上的全新作業摘要頁面為開發者提供了每個 GitHub Actions 工作流運行和安全狀態的快速視圖,使開發者可以查看每個構建的輸出軟件包,輕松跳轉至JFrog Artifactory 中的位置并返回原頁面。這種雙向導航利用 JFrog Artifactory 中保存的軟件物料清單(SBOM),增強了軟件追溯能力,實現了端到端的,從源碼到制品紛發再到安全整體的解決方案。
數字化轉型成為中國市場推動力
中國的客戶在開發運維當中,通常使用了多樣化的工具,有些是開源的,有些是閉源的,每一個項目工具都有一些自己的功能特點。但是在整個運維當中,效用相對較低。
“尤其是近兩年,由于每個環節都是不相通的,我們發現很多客戶的數據量以及客戶的流量吞吐能力增加的時候,就會造成企業在開發運維方面的困難。因此中國已經有很多客戶在2024年把整個方案,不同的工具整合到一起,用JFrog來代替零散的工具,從而實現統一的制品安全以及交付管理” 董任遠說。
“Jfrog看到,前幾年數字化轉型做得越好的客戶受影響越少,中國市場客戶的持續的數字化轉型,還在如火如荼的進行當中。而企業只要是做數字化管理,那么它對于JFrog解決方案的依賴以及軟件供應鏈安全的完善就是必要的。“
為中國企業出海提供保障
中國企業現在逐漸在加速企業出海,有的企業不僅是在中國本地有數據中心,正在其海外的目標市場,建立相應的數據中心。每建立一個數據中心,企業需要在數據中心實現相應的部署,存儲當地客戶的信息,同時保證和總部進行交流。隨著行業內軟件供應鏈安全意識提高,對于JFrog技術的需求變得越來越大。同時,JFrog還為客戶提供了包括 “SBOM” (軟件物料清單)在內的功能,很多企業將產品交付到其他市場的時候,有些地區根據當地政策,需要提供軟件物料清單,JFrog能夠提供SBOM的功能,可以一鍵式生成軟件物料清單,可以交由不同區域的機構進行產品合規的審查。
“我們看到中國的企業客戶對于保障軟件供應鏈安全的意識越來越明顯。通常客戶都是在制品完成開發和已經完成的時候,再做相應的安全掃描,現在很多客戶都是在開發第一時間對于所用的第三方產品實現相應的檢測,以確保在第一時間內發現潛在隱患,解決問題”董任遠指出。
制品庫市場在2025年仍會保持高速增長
Jfrog預期,2025年中國市場還會保持高速的增長,尤其是在制造業。大家現在看到中國的汽車不僅滿足中國市場,同時也在交付海外市場。在汽車領域,Jfrog看到有無限的潛能與機遇。同樣的,在很多制作業以及高科技領域,隨著中國企業“走出去”,對于JFrog產品的需求也會越來越大。
本月熱點 HOME
