JFrog的創(chuàng)新法則

  • 人閱讀
  • 2023-12-17 21:10:16

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

眾所周知,一家企業(yè)的軟件供應(yīng)鏈由許多部分組成,包含各種來(lái)源:開(kāi)源包、商業(yè)軟件、基礎(chǔ)設(shè)施即代碼(IaC)文件、容器、操作系統(tǒng)鏡像等。這種多樣性意味著企業(yè)的軟件供應(yīng)鏈存在很多風(fēng)險(xiǎn)點(diǎn),而且由于錯(cuò)誤、疏忽、質(zhì)量差或惡意攻擊,安全威脅涉及面非常廣泛。

尤其是近幾年隨著開(kāi)源軟件的使用不斷增加,針對(duì)開(kāi)源軟件的攻擊也開(kāi)始激增,企業(yè)的開(kāi)發(fā)者們也遇到了很多新的挑戰(zhàn)。比如針對(duì)NPM的CVE漏洞,每年每月都在逐年增加CVE(開(kāi)源組件的漏洞信息)的數(shù)量。數(shù)據(jù)顯示,針對(duì)NPM惡意在2023年上半年達(dá)到超過(guò)6000個(gè)攻擊。

在開(kāi)發(fā)人員忙到不可開(kāi)交時(shí),攻擊者還不斷發(fā)起新攻擊。此時(shí)對(duì)于企業(yè)而言,要想快速、安全地構(gòu)建、管理和發(fā)布軟件,就得構(gòu)建一個(gè)從開(kāi)發(fā)人員到設(shè)備一體化的安全、無(wú)阻礙的軟件流程。

JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)

“全球面臨著數(shù)字化轉(zhuǎn)型,軟件資產(chǎn)會(huì)越來(lái)越多,JFrog作為科技公司的使命是創(chuàng)造從開(kāi)發(fā)人員到設(shè)備之間暢通無(wú)阻的軟件交付世界,我們稱之為流式軟件。”JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)在接受筆者的采訪時(shí)表示,JFrog提供的是全語(yǔ)言制品庫(kù),它集成將近三十種左右最先進(jìn)的開(kāi)發(fā)語(yǔ)言,是全球第一個(gè)支持所有開(kāi)發(fā)語(yǔ)言的軟件制品庫(kù)管理平臺(tái),并且可以輕松的和各種CI/CD工具集成,在完整的軟件生命周期里管理二進(jìn)制的構(gòu)建信息,安全監(jiān)控,開(kāi)源許可監(jiān)控。

例如在安全層面,比較新型攻擊方式是通過(guò)機(jī)器學(xué)習(xí)模型進(jìn)行“投毒”:利用大模型社區(qū)存儲(chǔ)的大量由各行各業(yè)、各公司貢獻(xiàn)出來(lái)的開(kāi)源模型,將惡意代碼注入到大模型里,來(lái)調(diào)用本地的資源機(jī)程序。這種攻擊方式防不勝防,開(kāi)發(fā)者非常難發(fā)現(xiàn)并且意識(shí)到被攻擊。

“面對(duì)各種各樣的制品管理安全挑戰(zhàn),很多企業(yè)都缺乏統(tǒng)一管理制品的平臺(tái)和統(tǒng)一進(jìn)行掃描的能力,這時(shí)候就需要JFrog來(lái)提供幫助。”JFrog中國(guó)技術(shù)總監(jiān)王青透露,JFrog平臺(tái)主要有兩大核心能力:一是制品的管理,包括Artifactory和Distribution,進(jìn)行版本的上傳和分發(fā),實(shí)現(xiàn)版本的內(nèi)部管理和異地分發(fā);二是和安全相關(guān)的Artifactory,JFrog XRAY加高級(jí)掃描,XRAY是專門掃描開(kāi)源軟件是否存在合規(guī)和安全性的問(wèn)題。

事實(shí)上,從去年到今年開(kāi)始,企業(yè)CIO們關(guān)注的問(wèn)題是如何將DevOps和安全合二為一??v然企業(yè)買了很多安全掃描工具,但安全人員發(fā)現(xiàn)這些安全掃描工具無(wú)法和DevOps流程結(jié)合,甚至安全工具的掃描阻止了DevOps流程的快速發(fā)布,這是一對(duì)矛盾體,怎樣讓這兩個(gè)團(tuán)隊(duì)結(jié)合起來(lái)更好的協(xié)同,是目前各大行業(yè)企業(yè)面臨的很大的挑戰(zhàn)。

JFrog Curation的發(fā)布很好的解決了這一痛點(diǎn):JFrog Curation負(fù)責(zé)在代理倉(cāng)庫(kù)層掃描,即用戶在嘗試用一個(gè)新的版本的開(kāi)源組件時(shí),JFrog Curation會(huì)通過(guò)漏洞庫(kù)查詢這個(gè)版本有沒(méi)有發(fā)現(xiàn)過(guò)漏洞,發(fā)現(xiàn)漏洞下載請(qǐng)求會(huì)被阻斷,管理員也會(huì)收到通知。

Curation產(chǎn)品中包含另外一個(gè)功能CATALOG。它可以提供一個(gè)軟件包的google搜索,程序員想用一個(gè)第三方軟件時(shí),只需利用JFrog CATALOG,從內(nèi)網(wǎng)里就可以搜索,不用下載即可以搜索,為用戶提供了一個(gè)可信的開(kāi)源軟件依賴庫(kù),從源頭上保障軟件安全。

此外,JFrog SAST負(fù)責(zé)靜態(tài)應(yīng)用程序安全測(cè)試,是對(duì)JFrog XRAY之前二進(jìn)制掃描功能的補(bǔ)全。在現(xiàn)有的XRAY掃描提供了上下文分析、密鑰監(jiān)測(cè)、配置檢查、容器的檢查,能夠幫助開(kāi)發(fā)者在自己的開(kāi)發(fā)工具里面直接進(jìn)行代碼掃描,發(fā)現(xiàn)并立刻修復(fù)漏洞。

值得一提的是,對(duì)于業(yè)界熱議的AI和ML,JFrog第一時(shí)間做了Hugging Face倉(cāng)庫(kù)的支持,并且能夠掃描Hugging Face倉(cāng)庫(kù)中的License是否合規(guī)。

“如果一個(gè)公司要做ML,Hugging Face幾乎是必選的倉(cāng)庫(kù)。”在王青看來(lái),以前大模型通過(guò)一個(gè)大的SQD或者對(duì)象存儲(chǔ)管理,這種方式管理基本上非常麻煩,因?yàn)榇竽P臀募诺綄?duì)象存儲(chǔ)里,基本上不知道這個(gè)文件放在那里是做什么的,很容易被誤刪或者覆蓋。為此,JFrog發(fā)布了Artifactory:開(kāi)發(fā)者通過(guò)倉(cāng)庫(kù)代理Hugging Face模型,掃描之后下載到本地,然后調(diào)配,再上傳到Artifactory,最后進(jìn)行模型的發(fā)布。

也就是說(shuō),JFrog目前已經(jīng)具備了提供了業(yè)界首款端到端的加速軟件安全的構(gòu)建發(fā)布平臺(tái) Curation,其自帶開(kāi)源軟件目錄 CATALOG;同時(shí)支持SAST,對(duì)現(xiàn)有XRAY漏洞掃描進(jìn)行功能補(bǔ)全;發(fā)布了首次面向Hugging Face的原生集成,通過(guò)Artifactory就能實(shí)現(xiàn)對(duì)Hugging Face遠(yuǎn)程登陸下載及模型的上傳。

寫(xiě)在最后

JFrog在全球有7200家客戶,服務(wù)于89%以上的財(cái)富100強(qiáng)客戶。全球有1300多名員工??梢院?jiǎn)單定義為,企業(yè)有軟件開(kāi)發(fā)人員,即對(duì)JFrog有需求。尤其很多企業(yè)正在做數(shù)字化轉(zhuǎn)型,從硬資產(chǎn)向軟資產(chǎn)進(jìn)行遷移。對(duì)于JFrog的需求會(huì)越來(lái)越多。

“JFrog的中國(guó)業(yè)務(wù)從2023年看,增長(zhǎng)非???,比2022年超過(guò)了一倍。”董任遠(yuǎn)透露,JFrog在全球的銷售策略一直是以直銷為主,即直接面對(duì)用戶,跟客戶做生意。但由于快速發(fā)展,未來(lái)要想繼續(xù)從頭部客戶往中下線中小客戶來(lái)做遷移的話,需要更多的合作伙伴來(lái)支持。為此,2022年初,JFrog調(diào)整了銷售策略:由原來(lái)單一的渠道合作伙伴變成了多地域、多伙伴的模式,不用擔(dān)心技術(shù)資源以及客戶要求,JFrog希望能夠和所有合作伙伴協(xié)作共贏。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )