JFrog捷蛙(中國)總經(jīng)理 董任遠(yuǎn)

“JFrog平臺是面向企業(yè)開發(fā)者、運維人員、安全專員的企業(yè)通用二進(jìn)制管理倉庫,它支持市面上主流的30多種不同技術(shù)棧軟件倉庫以及二進(jìn)制包的管理,并且可以輕松的和各種CI/CD工具集成,在完整的軟件生命周期里管理二進(jìn)制的構(gòu)建信息,實現(xiàn)安全監(jiān)控和開源許可監(jiān)控?!倍芜h(yuǎn)說。

作為一個單一可信源的平臺,JFrog確保了軟件交付的一致性和可靠性。JFrog Artifactory存儲了所有的軟件包、容器鏡像以及配置文件,所有這些都被納入統(tǒng)一管理,根據(jù)需要進(jìn)行發(fā)布。同時,因為由可信源發(fā)布,實現(xiàn)了每一個環(huán)節(jié)的追蹤可控。

JFrog平臺構(gòu)架

JFrog平臺構(gòu)架展示了軟件制品在研發(fā)與交付流程中的安全性是如何實現(xiàn)的。

軟件在構(gòu)建完成后存儲在制品倉庫JFrog Artifactory中,對這些軟件或二進(jìn)制包通過JFrog的Xray和JFrog Advanced Security功能進(jìn)行安全檢測、漏洞審查,確認(rèn)安全無虞之后再經(jīng)由JFrog Distribution分發(fā)到各地的數(shù)據(jù)中心以及多種云環(huán)境,最后采用JFrog Connect技術(shù)直接發(fā)布到物聯(lián)網(wǎng)終端。

整個過程由JFrog Mission Control這個可視化的平臺實現(xiàn)對動態(tài)、工作負(fù)載和性能表現(xiàn)的監(jiān)控。

憑借跨環(huán)境多語言的能力,JFrog在本地部署可以有多集群、跨區(qū)域、跨地域,與AWS、微軟Azure、Google一起合作,提供各種私有云與公有云的解決方案。

JFrog平臺:創(chuàng)造五大主要價值

作為唯一可信源制品庫,JFrog創(chuàng)造的價值主要體現(xiàn)在五個方面。

一是全語言/統(tǒng)一維護(hù)。JFrog支持30多種不同技術(shù)棧軟件倉庫,同時支持Docker鏡像,提供配置文件管理,可減少維護(hù)成本180人天。

二是高可用/零宕機(jī)。很多企業(yè)管理軟件資產(chǎn)是關(guān)鍵性業(yè)務(wù),絕對不能出現(xiàn)宕機(jī)行為。JFrog支持本地的多活雙活以及集群管理,以及兩地三中心不同的地域之間互為熱備份。因為這個優(yōu)勢,JFrog受到了大量工程師、運維人員的青睞。

三是元數(shù)據(jù)/質(zhì)量度量。JFrog在制品倉庫中存儲了DevOps的元數(shù)據(jù),支持DevOps全流程管理,通過與企業(yè)交付流程不同工具鏈的集成,收集軟件生命周期中很多的信息,對原本不透明的二進(jìn)制制品軟件包是否完成測試、安全檢查是否過關(guān)等環(huán)節(jié)的狀態(tài)以元數(shù)據(jù)形式進(jìn)行記錄、分析和處理,確保軟件質(zhì)量與安全的可靠可信,且所有軟件包在倉庫中都可以溯源。

四是實時同步與快速發(fā)布。軟件構(gòu)建完成以后需要分發(fā)到各個中心邊緣節(jié)點,這個工作量巨大。JFrog提供支持P2P下載的能力,面對上萬并發(fā)下載場景可同時做到基于checksum去重——僅傳輸新增部分內(nèi)容——從而節(jié)省大量的帶寬跟流量,縮短了傳輸時間。

五是開源合規(guī)檢測。眾所周知,當(dāng)前開發(fā)軟件大多引用開源組件,這將面臨一系列的漏洞或者惡意代碼,而通過掃描,既可以發(fā)現(xiàn)潛在的安全風(fēng)險,同時也可探測內(nèi)部是否存在不合規(guī)開源的許可,避免觸及法規(guī)相關(guān)問題。

總體而言,JFrog支持主流通用所有的技術(shù)棧,既有單機(jī)版,也可以應(yīng)用于復(fù)雜的集群,支持無限擴(kuò)展、使用場景和環(huán)境,可以自如應(yīng)對復(fù)雜開發(fā)場景以及上萬的開發(fā)團(tuán)隊的規(guī)模;多環(huán)境同步,涉及到混合云、多云的部署,使得JFrog真正實現(xiàn)了端到端的管理。

令人稱道的安全產(chǎn)品兩道“防火墻”

這里提到的兩道“防火墻”,是指JFrog在軟件安全掃描方面的兩個產(chǎn)品:JFrog Xray和JFrog Advanced  Security 。

很早以前,JFrog就意識到軟件安全的重要性。

JFrog Xray支持在軟件開發(fā)過程中就進(jìn)行相關(guān)的掃描,提前阻斷風(fēng)險、支持開源治理,實現(xiàn)安全左移;JFrog Advanced Security則進(jìn)一步拓展了安全掃描領(lǐng)域,對漏洞進(jìn)行上下文風(fēng)險檢測、風(fēng)險分析,管控惡意代碼,及時的企業(yè)發(fā)布提示。

JFrog Xray和JFrog Advanced Security相關(guān)的發(fā)布已經(jīng)取得了很大的成效。

借助于剛剛收購的、一家名為Vdoo的專業(yè)龐大的數(shù)據(jù)安全團(tuán)隊的強(qiáng)勁支持,JFrog已經(jīng)向社區(qū)等組織發(fā)布了720個以上的漏洞報告、1300個惡意軟件包報告、500個0day漏洞報告,同時還發(fā)布了16款開源軟件的安全工具,幫助社區(qū)對用戶開源軟件供應(yīng)鏈風(fēng)險進(jìn)行掃描和防護(hù)。

披露漏洞一方面可以幫助軟件開發(fā)者以及用戶了解相關(guān)的安全與威脅,避免和減少相關(guān)的安全風(fēng)險,另一方面可以促進(jìn)社區(qū)的共同討論以及解決對策,提高軟件的安全、可信度以及可靠性的整體水平。

“傳統(tǒng)的安全掃描軟件只能提供第三方的軟件風(fēng)險是否被引入到自研產(chǎn)品中,Advanced Security則判斷被引入后到底產(chǎn)生了多大的風(fēng)險,通過上下文的分析,監(jiān)測軟件的風(fēng)險類是否被調(diào)用,進(jìn)而對潛在的安全風(fēng)險實現(xiàn)進(jìn)一步管控;而對源代碼進(jìn)行掃描的功能,可以發(fā)現(xiàn)惡意代碼以及配置管理中暴露的安全問題。”在董任遠(yuǎn)看來,JFrog Xray和JFrog Advanced Security兩大產(chǎn)品創(chuàng)新的安全理念具有跨時代意義。

“時代造就了JFrog的大好前景?!?/strong>

JFrog成立于2008年,2020年在納斯達(dá)克上市,現(xiàn)有員工1300多名,是一家“以創(chuàng)造從開發(fā)人員到設(shè)備之間暢通無阻的軟件交付世界”為使命的流式軟件科技公司,為各行業(yè)企業(yè)提供軟件資產(chǎn)管理解決方案,以應(yīng)對數(shù)字化轉(zhuǎn)型的強(qiáng)勁需求。

JFrog提供了從開發(fā)、測試到分發(fā)以及到客戶手機(jī)端或者應(yīng)用端全過程的軟件制品倉庫管理。全球排名前十的科技公司與金融公司、財富100強(qiáng)中的89%是JFrog軟件的用戶。

在過去12個月,JFrog擁有付費客戶續(xù)約存留率為128%;2022財年,JFrog擁有付費客戶7200多家,營收同比增長35%。

JFrog非常重視中國市場。2016年,JFrog通過授權(quán)代理商形式開展中國市場經(jīng)營,2021年正式進(jìn)入中國。目前在中國服務(wù)的客戶將近400個客戶。金融行業(yè)中有80%的國有銀行和股份制銀行,大型互聯(lián)網(wǎng)公司,以及傳統(tǒng)汽車廠商與新能源廠商,均在使用JFrog管理企業(yè)軟件資產(chǎn)。

JFrog尊重中國客戶在功能上的需求、支持中國軟件的信創(chuàng)工作,目前與中國本土操作系統(tǒng)供應(yīng)商、本土芯片廠商以及本土數(shù)據(jù)庫廠商都進(jìn)行了互認(rèn)證;正在考慮加大在中國的研發(fā)能力,同時也在推動新一輪的合作伙伴聯(lián)盟的開拓,聯(lián)手將優(yōu)秀的解決方案介紹給中國客戶,滿足客戶更多的需求。

“時代造就了JFrog的大好前景?!倍芜h(yuǎn)表示。

“愿Frog與您同在”。 談到公司名稱的來源,董任遠(yuǎn)介紹說,靈感來自于青蛙(Frog)保持往前跳躍式發(fā)展的狀態(tài)。創(chuàng)始人期待JFrog公司也能與合作伙伴和客戶一起持續(xù)前進(jìn),決不后退。

分享到

xiesc

相關(guān)推薦