当前位置: CompoTech China > 产业和商机 >
 

JFrog:DevOps和安全合二为一 助力客户高效运营管理核心数字资产

本文作者:徐俊毅       点击: 2023-12-22 10:25
前言:
 
DevOps是Development和Operations两个词的缩写,是指软件开发和运营维护之间的协作和协同。它的出现是为了解决传统软件系统,特别是提供实时服务的庞大系统,比如金融系统、社交媒体等应用,开发人员和运营维护人员之间日益尖锐的矛盾。

以社交软件为例,开发团队为了满足市场需求,不断增加、调整功能,提升用户体验,为客户创造价值,会不断有新的代码增加,也会删减一些无用的模块和功能,但是这对系统运维团队来说,却是不断出现的烦恼,软件的稳定行、安全性等问题会不停出现,让维护系统的问题变得困难。

开发团队求变,而运营团队求稳,数字经济的深入让代码更改更频繁,基础架构的使用也更灵活,传统的管理策略无法满足这种需求。需要有工具来解决这种问题,从而保证系统的开发效率和稳定性。

IBM的Redhat公司这样解释DevOps:DevOps 旨在实现既快又稳的工作流程,使每个想法(比如一个新的软件功能,一个功能增强请求或者一个 bug 修复)在从开发到生产环境部署的整个流程中,都能不断地为用户带来价值。这种方式需要开发团队和运维团队密切交流、高效协作并且彼此体谅。此外,DevOps 还要能够方便扩展,灵活部署。有了 DevOps,需求最迫切的工作就能通过自助服务和自动化得到解决;通常在标准开发环境编写代码的开发人员也可与 IT 运维人员紧密合作,加速软件的构建、测试和发布,同时保障开发成果的稳定可靠。

DevOps 可以加快一个想法从提出到部署的整个过程。DevOps 的核心在于,在应用的整个生命周期中,都要确保日常运维任务自动化和环境的标准化。

2008年成立的JFrog公司,总部位于以色列,由Ben Haim,Landman和Simon三位创始人在车库创立。他们的宗旨就是想让软件能像液体一样交融无痕。到2023年,JFrog公司在全球有7200家客户,服务于89%以上的财富100强客户,有1300多名员工。

“公司创始人希望公司能够像青蛙一样不停地向前跳跃,因为本身青蛙只会向前跳,而且通过不断的跳跃完成一次次升级” JFrog大中华区总经理董任远介绍说。

JFrog比较关键性的行业是金融行业。其中一个关键优势是支持了中国银行业的“两地三中心”,同时满足了银行业要求的高可靠性以及异地协同开发。

“针对中国的市场环境,JFrog也做了一些改变,中国要求使用国产CPU、国产操作系统以及国产数据库,因此我们和国产设备、国产软件、硬件都做了相关的兼容性适配。”

JFrog提供全语言制品库,也叫DevOps Platform。支持各种各样的语言开发包,是全球第一个支持所有开发语言的软件制品库管理平台。

“目前只有JFrog能够集成将近三十种左右最先进的开发语言。这也是为什么有很多高科技互联网公司都在用我们的产品” JFrog中国技术总监王青说。

JFrog在整个DevOps生态扎根非常深入,包括Jenkins,各种CI/CD工具都集成。在现有的企业中,无论使用了什么样的DevOps流水线都能无缝集成到系统里来,帮助用户实现快速的软件发布。

近几年随着开源软件的使用不断增加,针对开源软件的攻击也开始激增,企业的开发者们也遇到了很多新的挑战。比如针对NPM的CVE漏洞,每年每月都在逐年增加CVE(开源组件的漏洞信息)的数量,针对NPM恶意软件包攻击数量每个月都在增长,针对NPM恶意包的报告基本在2023年上半年达到超过6000个攻击。

“在开发人员忙到不可开交时,攻击者还不断发起新攻击”。
一方面开发者不经意间泄露一些密钥信息,另一边,黑客在机器学习模型的社区中,对开源模型投毒,使得开发者在使用这些带毒模型时,将病毒带入企业系统。

面对各种各样的制品管理安全挑战,很多企业都缺乏统一管理制品的平台和统一进行扫描的能力。很多企业买了很多安全扫描工具,但安全人员发现这些安全扫描工具无法和DevOps流程结合起来,

JFrog两大核心能力,一是制品管理,包括Artifactory和Distribution,进行版本的上传和分发,这两个组件能够实现版本的内部管理和异地分发。第二个核心功能是和安全相关的Artifactory,JFrog XRAY加高级扫描,XRAY是专门扫描开源软件有没有一些合规性的问题,包括安全性的问题。

但这仍然不足以应对严峻的信息安全问题。

开发者下载一个工具通常要下到本地内网来,等使用这个工具,将新版本提交到安全扫描工具时,如果发现有漏洞就已经很迟了,可能会在新版本软件上线前的一个礼拜才能扫描出来。这时候可能来不及处理,只能推迟新版本的发布。

JFrog提供了业界首款端到端的加速软件安全的构建发布平台,称为Curation,

“Curation在代理仓库这一层扫描,即用户在尝试用一个新的版本的开源组件时,JFrog Curation会通过漏洞库查询这个版本有没有发现过漏洞,如果有,下载请求会被阻断,管理员也会收到通知。我们在最左移的情况下阻止这个漏洞的使用。“

透过自带开源软件目录 CATALOG,同时支持了SAST,对现有XRAY漏洞扫描进行功能补全。也发布了首次面向Hugging Face的原生集成,通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。

“从去年到今年开始,CIO们关注的问题是,在DevOps和安全合二为一如何融入起来,JFrog致力于帮助客户解决这一问题“。

在中国市场,JFrog业务比2022年增长了超过了一倍。

“2024年会保持一个高速的增长。其中也有大环境因素的影响,整个所处的阶段是客户对数字化转型的需求大大增加,同时客户也都意识到公司的软件资产是核心资产,所以,他们需要一个制品库来帮助管理、运维他们自己的核心资产” 董任远总结说。