迎接新技术挑战,JFrog发布与升级系列黑科技技术产品
作为开发者,我们十分关注软件开发的全生命周期,有一家企业也同样关注软件交付和流式软件,致力创造从开发人员到设备之间畅通无阻的软件交付世界。它便是 JFrog,自2008年成立以来,目前已在全球范围内拥有7200家客户,服务的客户89%为财富100强客户,全球有1300多名员工。
JFrog提供全语言制品库DevOps Platform解决方案,支持各种各样的语言开发包,是全球第一个支持所有开发语言的软件制品库管理平台,目前只有 JFrog能够集成将近三十种左右最先进的开发语言。JFrog在DevOps生态扎根深入,集成 Jenkins、CI/CD工具等,企业DevOps流水线都能无缝集成到其系统里来,帮助用户实现快速软件发布。
开源、AI 技术浪潮下,新挑战新机遇
开源浪潮席卷全球,JFrog中国技术总监王青表示,近几年来,随着开源软件的使用不断增加,针对开源软件的攻击激增,开发者迎来诸多挑战,例如CVE(通用漏洞披露)数量不断上升,针对NPM恶意软件包攻击数量也同样增长,为开发者和安全团队带来持续压力。
除此之外,在二进制制品中,开发者在过往仓库可能泄露一些密钥信息。JFrog对互联网近400万个包进行扫描,最后超过25万个TOKENS被检测到,这意味在互联网NPM等仓库存在大量的TOKEN泄露,这是很多企业没有发现的未知数据。
今年以来,AI大模型迅猛发展,同时带来新型攻击方式是通过机器学习模型进行投毒。例如有黑客通过Hugging Face下载模型随意进行投毒,将恶意代码注入到大模型里,来调用本地的资源机程序。
面对各种各样的制品管理安全挑战,很多企业缺乏统一管理制品的平台和统一进行扫描的能力,JFrog可以为开发者和企业提供帮助。JFrog软件供应链平台可以帮助企业管理二进制制品从创建到分发的整个过程。
王青介绍道,JFrog软件供应链平台主要涵盖两大核心能力,一是制品的管理,包括Artifactory和Distribution,进行版本的上传和分发;第二个核心功能是持续确保安全性与合规性的JFrog XRAY,另外还有具有上下文分析功能的JFrog Advanced Security可在软件投入生产后帮助快速评估关键漏洞和密钥暴露,以便及时执行修复工作。凭借JFrog软件供应链平台,为企业保驾护航。技术不断发展,JFrog也积极升级创新以面对当前新挑战。
JFrog系列黑科技新品发布
在JFrog 中国swampUP2023上,JFrog发布几项全新功能,为软件发布的质量、安全性、MLOps和完整性设定标准。从创建到生产,JFrog平台在软件开发生命周期的每个阶段都注入二进制级别的安全性,以确保应用程序的可追溯性、可靠性、合规性和安全性。
一、JFrog Curation
JFrog Curation通过全新OSS目录功能,帮助企业防止恶意软件包或漏洞进入其开发环境。
开发者下载软件时通常下到本地内网,然后将软件交到安全扫描工具,此时如果扫描出来有漏洞就晚了。如何将扫描左移到最左侧,JFrog做了一些努力。一是支持开发者在流水线扫描,JFrog XRAY支持在开发工具IDE扫描。JFrog Curation是在代理仓库层扫描,即用户在尝试用新版本开源组件时,JFrog Curation通过漏洞库查询该版本有没有漏洞,如果有,下载请求会被阻断,管理员会收到通知。即JFrog Curation可在远程仓库进行阻断的,做到安全左移。
概况起来,其优点有以下四点:
1、集中可见性和控制:对第三方(OSS)软件包下载
2、开发人员能够畅通无阻地使用软件包:通过主动预防和阻止恶意和不需要的软件包
3、自动管理第三方软件包:为开发人员提供可信的软件组件来源
4、提升DevSecOps运营体验并实现成本节约:通过在SDLC中实现无缝集成并减少后期修复工作
二、JFrog CATALOG
JFrog CATALOG类似OSS软件包界的“谷歌搜索”,供开发人员、DevOps 工程师、AppSec 等使用。例如当程序员想用一个第三方软件时,以前需要去官网搜,现在只需在JFrog CATALOG从内网里就可以搜索、下载,相当于给用户提供了一个可信的开源软件依赖库。
三、JFrog SAST
针对二进制扫描补全,推出静态应用程序安全测试JFrog SAST。在现有的 JFrog XRAY扫描提供上下文分析、密钥监测、配置检查、容器等检查。JFrog SAST帮助开发者在开发工具里进行代码扫描,有漏洞的话开发者自己可以发现并且修复。JFrog提供很大的优势,连怎么修复的代码片段都生成好,开箱即用,对开发者的体验是极好的。JFrog SAST与多种开发环境无缝集成,帮助客户快速准确地扫描源代码中的零日安全漏洞。JFrog SAST还可以通过上下文分析来减少误报,帮助确定问题的优先级并采取纠正措施。
四、JFrog AI 和ML模型安全性(MLOps)
对于业界热议的AI和ML,JFrog第一时间做好对Hugging Face仓库的支持,扫描Hugging Face仓库中的License是否合规。JFrog的全新 ML 模型管理功能可快速扫描和检测恶意机器学习模型,在需要之时阻止其使用,并确保许可证符合公司政策,从而更安全地使用AI。JFrog ML模型管理功能的测试版现已面向JFrog Cloud客户推出。
JFrog 联合创始人兼首席执行官Shlomi Ben Haim表示:“JFrog一直战略性地进行大力投资,开发全面的、以 DevOps 为中心的安全解决方案,旨在应对未来的威胁。在二进制层面,JFrog独特地实现了DevSecOps流程的自动化,我们的客户证实这是保护其软件供应链的最有效方法。整个行业一直都在奋力抵御攻击者,而JFrog更是不断地推出超越其他全球供应商的新功能。目前,JFrog为客户提供的保护范围涵盖开源和第一方代码、机密检测、IaC安全和OSS软件包的创建,如今还引入AI和MLOps安全性、缓存和保护客户的ML模型。得益于Artifactory的领先地位,JFrog凭借控制二进制制品的独特能力而脱颖而出。”
JFrog 在中国,为中国
JFrog大中华区总经理董任远表示,自2022年JFrog 正式进入中国来,秉持“在中国,为中国”的原则,完成从单一的代理商模式到多个合作伙伴支持。
与此同时,JFrog加大技术投入,并与合作伙伴共同创新,在过去一年里完成很多和中国软硬件交互式的认证,拿到相关证书,以满足中国市场的需求。董任远看好中国市场发展,中国业务从增长非常快,2023年比2022年超过了一倍。他相信在2024年也会保持高速增长。未来希望将中国经验拷贝到全球,让更多的合作伙伴参与到业务中。
一直以来,JFrog关注客户需求,积极与全球合作伙伴携手发展,JFrog 推出“客户至上”全球合作伙伴计划,旨在帮助客户通过第三方来采用JFrog解决方案,并为JFrog及其合作伙伴创造新的营收来源。该计划无前期费用投入,从成为JFrog合作伙伴那一刻起,会有专门的商务合作伙伴经理协助他们在JFrog的旅程,并帮助取得成功。JFrog还提供销售和技术支持,为合作伙伴赋能,告别MDF (市场发展基金) 管理,让联合销售变得简单,JFrog助力合作伙伴获得成功。
据JFrog全球渠道与联盟高级副总裁Kelly Hartman表示:“我们的目标是为合作伙伴提供价值,让他们利用我们的解决方案和专业知识,这些解决方案和专业知识深受全球众多财富100强公司的信赖。我们颠覆了传统上大举投资的合作伙伴模式,因为我们将合作伙伴视为战略同盟。我们将共同推动技术发展,拓展价值数十亿美元的DevOps、DevSecOps、MLOps 和IoT市场,同时帮助我们共同的客户实现其业务目标。”