“众所周知,制品库是DevOps环节中最核心的一部分,而 DevOps面临最大的痛点就是如何进行工具链的打通,很多企业都有不同的做法,这也为后续的管理带来很大的隐患。”JFrog大中华区和日本地区总经理董任远日前在接受笔者的采访时表示,作为一个软件供应链平台,JFrog业务已经不仅仅涉及制品管理,现在领域已经延伸到整个软件供应链,制品就是软件供应链的一部分。以制品库为核心,打通整个DevOps工具链,这就是JFrog一直在做的事情。
从JFrog的产品矩阵来看,其中既有JFrog整个产品的核心JFrog Artifactory——全球唯一的全源制品库管理,还有JFrog Curation,专门应用于开源软件隔离治理,以及JFrog XRAY漏洞扫描,这些都是软件成分分析的重要工具。
JFrog大中华区和日本地区总经理董任远
2023年,JFrog发布了高级扫描套件,能够基于上下文,找出假“阳性”的漏洞。在今年9月份,JFrog又发布了新功能Runtime Security,能够在用户Kubernetes集群里快速修复,快速发现生态环境的漏洞,并且提供修复建议。
“JFrog Runtime可以使企业能够将安全性无缝集成到开发流程的每一个环节——贯穿源代码编写,二进制文件部署和生产。”JFrog中国技术总监王青表示,JFrog简化了开发人员与安全团队之间的协作流程,实现了 DevSecOps 任务的自动化,为现代云原生应用开发节省了时间并进一步加强了安全性。同时它使团队能够实时监控 Kubernetes 集群,从而根据实际风险来识别、优先处理并快速解决安全隐患。
另外,JFrog Runtime 使用户能够追踪和管理不同来源的软件包,按环境类型组织存储库,并激活 JFrog Xray 策略,最终加强从代码到运行时的安全性。作为 JFrog 的一部分,Runtime 还能够弥合团队之间在可见性和协调性方面和认知差异,优化版本控制和软件包开发,同时确保研发、DevOps 和安全团队能够高效协作,为开发人员节省宝贵时间。此外,它还有助于确保镜像完整性并有效满足合规性要求。
“JFrog Runtime可以从两个方面发现潜在的安全隐患:一个是运行时的镜像完整性,检测对应的镜像是不是从Artifactory进行拉取,如果不是,系统会即刻进行提示;另一个是运行时的影响,包括Pod以及相关的漏洞,甚至是漏洞修复的优先级。”王青强调,目前市面上的安全工具只负责安全,没有镜像介质的管理,JFrog独特之处就在于它融合了镜像介质统一管理,以及安全扫描的功能,所以JFrog能提供镜像一致性的校验,这样的校验就保证在Kubernetes运行环境中,Pod拉取的镜像和在Artifactory里存取的镜像是一致的。
简单来讲就是保障了开发人员在开发过程当中的镜像和生产用的镜像保持一致的,避免了额外的沟通成本或者版本错误带来的问题。
除了制品库核心功能之外,JFrog也有用于软件发布的JFrog Distribution,帮助用户把软件快速地从研发中心分发到云上或者数据中心;如果用户需要有物联网的设备版本进行更新,JFrog也提供了JFrog Connect,专门提供物联网设备的二进制包更新的整个流程。最后JFrog今年最新提供的解决方案——JFrog ML,可以实现对大模型的运维提供模型管理,其中涵盖了整个模型供应链编排包括模型的部署。
也就是说,JFrog提供了一整套解决方案,不仅是基于普通的制品、开发者的制品,还有安全扫描,版本分发,LT设备以及大模型持续部署持续编排的能力等。JFrog的功能版图得到了极大的增强。
值得一提的是,在合作伙伴生态的建设方面,JFrog也取得了亮眼的成绩。前不久,JFrog宣布了与NVIDIA NIM 微服务(NVIDIA AI Enterprise 软件平台的一部分)进行新的产品集成。
这样与传统NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型不同的是,JFrog提供的功能是帮助用户实现本地可以搭建Artifactory,通过代理NGC的NVIDIA模型中心,把模型缓存在企业内部,在本地KBS集群拉取镜像和拉取模型的时候,都可以从Artifactory进行拉取。提升镜像和模型的拉取速度,也能够帮助企业在本地实现模型化的管理。同时JFrog Xray能够对大模型进行恶意模型的扫描,帮助企业规避被模型仓库里恶意模型攻击的隐患。
与此同时,JFrog还与全球领先的代码开发平台GitHub合作发布全新集成功能,通过持续深化的合作为开发者提供能够呈现项目状态和安全态势的综合视图,帮助他们快速解决公司高级安全产品发现的潜在漏洞。
“GitHub之前存在着一个问题,它的源码管理是非常强的,但是它缺乏一个制品管理的功能。比如,GitHub代码构建完成之后,有一个GitHub的Artifactory构建工具,构建完之后,它的制品存储信息在之前的页面里是缺失的。”王青透露,正是基于这样的一个需求,JFrog和GitHub合作了一个深度的集成。
例如,为帮助开发者深入快速了解第三方软件包,JFrog和GitHub合作推出 Copilot Chat扩展插件,Copilot 的聊天功能与 JFrog 的制品元数据相结合,为开发者打造了一个强大的 AI 助手,帮助开发者能够使用 Copilot 快速了解并确保这些信息的可信度,快速选择已更新、经企业批准且可安全使用的软件包。
在动态项目映射和身份验证方面,开发者在集成的时候,一个繁琐的步骤就是做认证,JFrog利用当前的 OpenID Connect(OIDC)集成,改进了 GitHub 存储库和 Artifactory 中 JFrog 项目之间的自动授权和无缝项目映射,开发者无需对每个存储库重新进行身份验证。
在保障安全性方面,JFrog可以提供从代码到创建生产环境统一的端到端安全性。GitHub Advanced Security 和JFrog Advanced Security安全扫描结果的统一视图可帮助开发者在开发生命周期的早期阶段识别并消除潜在的软件漏洞,从而节省时间成本并降低风险。
更重要的是,GitHub 上的全新作业摘要页面为开发者提供了每个 GitHub Actions 工作流运行和安全状态的快速视图,使开发者可以查看每个构建的输出软件包,轻松跳转至JFrog Artifactory 中的位置并返回原页面。这种双向导航利用 JFrog Artifactory 中保存的软件物料清单(SBOM),增强了软件追溯能力,实现了端到端的,从源码到制品分发再到安全整体的解决方案。
写在最后
2024年,不论是从技术的创新还是业务的发展,JFrog都比较的成功,其在中国业务也实现了持续的增长。
“中国的客户在开发运维当中,使用了多样化的工具,但效用相对较低。我们发现很多客户的数据量以及客户的流量吞吐能力增加的时候,就会造成企业在开发运维方面的困难。因此中国已经有很多客户在2024年用JFrog来代替零散的工具,从而实现统一的制品安全以及交付管理。”董任远认为,企业只要是做数字化管理,那么它对于JFrog解决方案的依赖以及软件供应链安全的完善就是必要的。
尤其是中国企业逐渐在加速企业出海,每建立一个海外的数据中心,企业需要在数据中心实现相应的部署,存储当地客户的信息,同时保证和总部进行交流。这些都离不开JFrog的技术支持。随着行业内软件供应链安全意识提高, JFrog还为客户提供了包括 “SBOM” (软件物料清单)在内的功能,可以一键式生成软件物料清单,可以交由不同区域的机构进行产品合规的审查。
“2025年中国市场还会保持高速的增长,尤其是在制造业。在很多制作业以及高科技领域,随着中国企业走出去,对于JFrog产品的需求也会越来越大。”董任远相信在2025年,JFrog在中国市场会保持高速的业务增长。