当前位置: CompoTech China > 业界资讯 >
JFrog是一个做制品库出身的公司,制品库作为DevOps环节中最核心的一部分,DevOps最大的痛点就是如何进行工具链的打通,很多企业都有不同的做法。JFrog有将近八千家的成功案例,以制品库为核心,打通整个DevOps工具链。
JFrog提出了一个概念——EveryOps。意在打通整个软件开发部署的供应链体系,为整个体系提升效率和安全保障。
JFrog在swampUP 2024上分享了在网络安全领域、运维领域的最新创新成果及新的技术解决方案。同时也针对当下市场关于AI、大模型的重要领域公布了新的技术以及与一些重要合作伙伴的协作成果。
Jfrog的软件供应链平台
JFrog提供了一整套解决方案,不仅是基于普通的制品、开发者的制品,还有安全扫描,版本纷发,LT设备以及大模型持续部署持续编排的能力等等。
JFrog发布了高级扫描套件,能够基于上下文,找出 假“阳性”的漏洞。在2024年9月份,Jforg发布了新功能,也是新的产品叫Runtime Security,它能够在用户Kubernetes集群里快速修复,快速发现生态环境的漏洞,并且提供修复建议。
JFrog除了制品库核心功能之外,也有用于软件发布的JFrog Distribution,帮助用户把软件快速地从研发中心分发到云上或者数据中心。如果用户需要有物联网的设备版本进行更新,JFrog也提供了JFrog Connect,该解决方案专门提供物联网设备的二进制包更新的整个流程。最后,也是今年最新提供的解决方案——JFrog ML,ML即为machine learning,该功能可以实现对大模型的运维提供模型管理,其中涵盖了整个模型供应链编排包括模型的部署。
NVIDIA的GPU对很多致力于开发大模型的团队而言必不可少,传统NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型,把它部署到NVIDIA训练集群里面去。
“JFrog提供的功能是帮助用户实现本地可以搭建Artifactory,通过代理NGC的NVIDIA模型中心,能够把模型缓存在企业内部,在本地KBS集群拉取镜像和拉取模型的时候,都可以从Artifactory进行拉取。这样,不仅能够提升镜像和模型的拉取速度,还能够帮助企业在本地实现模型化管理。” JFrog中国技术总监王青说
同时JFrog Xray能够对大模型进行恶意模型的扫描,帮助企业规避被模型仓库里恶意模型攻击的隐患。
安全挑战贯穿整个软件供应链
JFrog大中华区和日本地区总经理董任远
“目前,业界当中基于软件供应链的攻击呈现了100倍的增长”JFrog大中华和日本地区总经理董任远强调!
在软件包创建、打包、分发、部署的时候,都会有各种各样的网络攻击行为。为应对这一挑战,2024年9月份JFrog发布了全新的产品,也是首个运行时安全解决方案——JFrog Runtime,这项解决方案使企业能够将安全性无缝集成到开发流程的每一个环节——贯穿源代码编写,二进制文件部署和生产。
JFrog Runtime简化了开发人员与安全团队之间的协作流程,实现了 DevSecOps 任务的自动化,为现代云原生应用开发节省了时间并进一步加强了安全性。它使团队能够实时监控 Kubernetes 集群,从而根据实际风险来识别、优先处理并快速解决安全隐患。此外,它还有助于确保镜像完整性并有效满足合规性要求。
JFrog Runtime 使用户能够追踪和管理不同来源的软件包,按环境类型组织存储库,并激活 JFrog Xray 策略,最终加强从代码到运行时的安全性。作为 JFrog 的一部分,Runtime 还能够弥合团队之间在可见性和协调性方面和认知差异,优化版本控制和软件包开发,同时确保研发、DevOps 和安全团队能够高效协作,为开发人员节省宝贵时间。
JFrog Runtime可以从两个方面发现潜在的安全隐患:、
运行时的镜像完整性。有些攻击行为是通过恶意的镜像导入,把恶意的镜像或者漏洞包的镜像上传到生产环境,绕过Artifactory,从而实现攻击。该功能可以检测对应的镜像是不是从Artifactory进行拉取,如果不是,系统会即刻进行提示。
运行时的影响。这些影响就包括Pod里包含了哪些漏洞,这些漏洞它的优先级分别是什么样的,应该优先修复哪个?JFrog在运行时这个领域聚合了Xray基本能力以及Advanced Security高级扫描能力。这样即可实现选取某一个Pod的时候,可以发现它有多少个漏洞,镜像里包含了什么样的级别的漏洞风险,使安全团队立即进行修复。同时,在即使在实际运行Pod之中也有漏洞风险已经在环境里运行时,如果有高危漏洞,系统可以提示用户立刻采取行动,来避免应用暴露在高危风险当中。JFrog同步也提供了恶意包的扫描,检测K8s集群,,避免恶意包带来的攻击隐患。
此外,Jfrog还提供了镜像一致性检测的功能,防止镜像文件被恶意渗透。
优化漏洞分析 降低企业安全成本
2024年5月,JFrog全球软件供应链发展报告指出,大多数被评为“严重”的漏洞评级具有误导性。Jfrog可帮助企业用户避免在这些具有误导性的非严重的漏洞方面,浪费太多资源,包括时间资源和人力资源。
“JFrog研究团队有几十人的安全专家,他们对业界市面上暴露的CVE进行了二次分析,发现了可能大概有40%的漏洞存在误导性,本来是中级的漏洞,CVE评论为高级或者严重。JFrog对漏洞包进行相应的下调,目的就是为了给开发者进行减负,我们通过深入分析这个包对实际应用场景,给出了下调的建议。这些建议是得到安全专家的认可,所以说我们JFrog的Security advice在我们产品里给用户额外的价值增加的信息包,我们的用户就能够看到这些信息,让安全进行更准确的分析”董任远说。
与GitHub深度结合简化开发流程
如果企业用户用到了GitHub作为源码管理平台和构建平台,当在GitHub做Artifactory构建的时候,页面上能够直观地看到JFrog的链接。以下图为例,可以清楚看到这次构建它发布了什么样的包,这些链接点击进入之后,直接跳到JFrog平台。Jfrog的漏洞扫描信息在这个页面上也会统一得到展示,开发者不需要再跳转到JFrog检查漏洞信息,在GitHub就能完全看见了,非常方便。
为帮助开发者深入快速了解第三方软件包,JFrog和GitHub还合作推出 Copilot Chat扩展插件,Copilot 的聊天功能与 JFrog 的制品元数据相结合,为开发者打造了一个强大的 AI 助手,帮助开发者能够使用 Copilot 快速了解并确保这些信息的可信度,快速选择已更新、经企业批准且可安全使用的软件包。全新 GitHub Copilot 扩展插件通过在 JFrog 二进制环境中提供有关开源软件包的深入洞察以及 GitHub 代码数据。开发者无需搜索文档或在线论坛,能够基于安全性和市场应用情况选择软件包,减少了大量开发过程和安全监测流程当中的沟通成本。
另一个较有特色的功能是动态项目映射和身份验证--跨平台的SSO。开发者在集成的时候,一个繁琐的步骤就是做认证,JFrog利用当前的 OpenID Connect(OIDC)集成,改进了 GitHub 存储库和 Artifactory 中 JFrog 项目之间的自动授权和无缝项目映射,开发者无需对每个存储库重新进行身份验证。
Frog还有一个工具叫Frogbot,当你对代码进行Commit、 Merge和Pull Request的时候,会主动触发JFrog机器人对代码进行扫描,保证每次代码合并请求都会实现一个安全的审核,避免一些安全的漏洞进入到代码库。
GitHub 上的全新作业摘要页面为开发者提供了每个 GitHub Actions 工作流运行和安全状态的快速视图,使开发者可以查看每个构建的输出软件包,轻松跳转至JFrog Artifactory 中的位置并返回原页面。这种双向导航利用 JFrog Artifactory 中保存的软件物料清单(SBOM),增强了软件追溯能力,实现了端到端的,从源码到制品纷发再到安全整体的解决方案。
数字化转型成为中国市场推动力
中国的客户在开发运维当中,通常使用了多样化的工具,有些是开源的,有些是闭源的,每一个项目工具都有一些自己的功能特点。但是在整个运维当中,效用相对较低。
“尤其是近两年,由于每个环节都是不相通的,我们发现很多客户的数据量以及客户的流量吞吐能力增加的时候,就会造成企业在开发运维方面的困难。因此中国已经有很多客户在2024年把整个方案,不同的工具整合到一起,用JFrog来代替零散的工具,从而实现统一的制品安全以及交付管理” 董任远说。
“Jfrog看到,前几年数字化转型做得越好的客户受影响越少,中国市场客户的持续的数字化转型,还在如火如荼的进行当中。而企业只要是做数字化管理,那么它对于JFrog解决方案的依赖以及软件供应链安全的完善就是必要的。“
为中国企业出海提供保障
中国企业现在逐渐在加速企业出海,有的企业不仅是在中国本地有数据中心,正在其海外的目标市场,建立相应的数据中心。每建立一个数据中心,企业需要在数据中心实现相应的部署,存储当地客户的信息,同时保证和总部进行交流。随着行业内软件供应链安全意识提高,对于JFrog技术的需求变得越来越大。同时,JFrog还为客户提供了包括 “SBOM” (软件物料清单)在内的功能,很多企业将产品交付到其他市场的时候,有些地区根据当地政策,需要提供软件物料清单,JFrog能够提供SBOM的功能,可以一键式生成软件物料清单,可以交由不同区域的机构进行产品合规的审查。
“我们看到中国的企业客户对于保障软件供应链安全的意识越来越明显。通常客户都是在制品完成开发和已经完成的时候,再做相应的安全扫描,现在很多客户都是在开发第一时间对于所用的第三方产品实现相应的检测,以确保在第一时间内发现潜在隐患,解决问题”董任远指出。
制品库市场在2025年仍会保持高速增长
Jfrog预期,2025年中国市场还会保持高速的增长,尤其是在制造业。大家现在看到中国的汽车不仅满足中国市场,同时也在交付海外市场。在汽车领域,Jfrog看到有无限的潜能与机遇。同样的,在很多制作业以及高科技领域,随着中国企业“走出去”,对于JFrog产品的需求也会越来越大。
本月热点 HOME
