当前位置: CompoTech China > 业界资讯 >
JFrog 大中华和日本地区总经理董任远
AI崛起,开发人员使用更多语言和工具,同时项目部署容器化成为主流趋势。这使得在企业的软件开发系统中,软件供应链的的运营方式正在发生改变。
JFrog 近日发布了其 《2024年全球软件供应链发展报告》的调查结果,指出了新兴的发展趋势、行业风险。
这份报告共调查了全球1224技术专业人员,为提升软件研发系统的工作效率,并保证系统安全提供参考策略。
报告的重点摘录:
● 并非所有 CVE 都如表面所见:传统的CVSS评级仅关注漏洞利用的严重性,而非其被利用的可能性,后者需要结合具体情境才能做出有效的评估。JFrog安全研究团队在分析了2023年发现的212个高知名度CVE后,平均将85%的“严重”CVE和73%的“高危”CVE的重要性评级下调。此外,JFrog发现,在报告的前100个Docker Hub社区镜像中,74%的CVSS评级为“高危”和“严重”的常见CVE实际上是无法被利用的。
● 拒绝服务(DoS)攻击盛行:JFrog安全研究团队分析的212个高知名度CVE中,有44%存在发起DoS攻击的潜在威胁; 17%存在执行远程代码(RCE)的潜在威胁。这对于安全组织来说是个好消息,因为RCE由于能够提供对后端系统的完全访问权限,与DoS攻击相比,其危害性更大。
● 安全问题会影响工作效率:40%的受访者表示,通常需要一周或更长时间才能获得使用新软件包/库的批准,这延长了新应用程序和软件更新的上市时间。此外,安全团队大约耗费25%的时间用于修复漏洞,即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。
● 在软件开发生命周期(SLDC)中采用安全检查方式的差异性 —— 当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时,行业内存在明显分歧,这突显了同时进行左移和右移的重要性。42%的开发人员表示,最好在编写代码过程中执行安全扫描,而41%的开发人员认为最好在新软件包从开源软件(OSS)库引入企业之前执行扫描。
● 安全工具的过度使用现象仍在持续 —— 近半数IT专业人士(47%)表示他们部署了四到九种应用安全解决方案。然而,有三分之一的调查对象和安全专业人士(33%)表示,他们正在使用十种乃至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势,同时也表明人们正逐渐放弃单一的点对点解决方案,转而寻求综合性更高的安全工具集成。
● AI / ML工具在安全领域的应用不成比例 —— 尽管有90%的受访者表示,他们的企业目前以某种形式使用AI / ML驱动的工具来协助安全扫描和修复工作,但只有三分之一的专业人士(32%)表示他们的组织使用AI / ML工具来编写代码。这反映出业内大多数人对AI生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。
相比其他公司的DevSecOps制品库工具,JFrog的制品库产品有别于单纯的安全扫描,对运维和开发支持很多,左移到开发者甚至开发工具。服务对象不光是安全团队,而是扩展到了整个研发团队。这大幅度提高了软件开发团队的工作效率就。
凭借这一优势,JFrog也得以快速成长,并在中国市场收获更多认可。
如今,JFrog全球拥有7400多家客户,1500名员工,第一季度营收达到3.7亿美元,在全球实现了25%的增长。
“JFrog新客户和现有客户营收情况均实现较大幅度增长。特别是中国市场,是JFrog全球增长最快的区域!” JFrog 大中华和日本地区总经理董任远说。
从基础架构芯片、服务器,到操作系统数据库等等,中国的信息系统从软件到硬件正在全面进行国产化进程。为满足本地客户的需求,2023年,JFrog全线产品针对国产产品进行适配,针对中国特殊行业发展提供优化和特殊支持。
在中国,汽车行业,传统车企、新势力车企都在大规模引入智能化概念,软件系统的更新升级周期变得更短,开发人员需要软件供应链系统能够适应新能源车开发。目前中国主流新能源车企广泛采用JFrog解决方案。在传统行业,金融、制造业在2023年大规模出海寻求发展,在研发层面进行了全球化开发运维部署,JFrog正在与更多中国伙伴一起开拓全球市场。
本月热点 HOME
