其核心產(chǎn)品除了JFrog Artifactory�����,JFrog還有專門應(yīng)用于開源軟件隔離治理的JFrog Curation以及漏洞掃描JFrog Xray等����,這些都是軟件成分分析的重要工具。
前不久,JFrog面向開發(fā)運維領(lǐng)域的從業(yè)者在美國舉行的swampUP 2024上展示了在網(wǎng)絡(luò)安全以及運維領(lǐng)域的創(chuàng)新技術(shù)解決方案�,并針對AI、大模型等重要領(lǐng)域公布了新的技術(shù)以及與重要合作伙伴的協(xié)作成果����。
全新策略發(fā)布:JFrog EveryOps
swampUP 2024的一大亮點是JFrog EveryOps的發(fā)布。
作為一個全面的開發(fā)運維管理策略�,JFrog的EveryOps概念旨在通過整合和優(yōu)化各種DevOps實踐來提升軟件開發(fā)和部署的效率與安全性。它提供了一個統(tǒng)一�、全面、安全且高效的開發(fā)運維管理平臺�����,使開發(fā)團隊能夠更有效地管理從代碼編寫到軟件部署的全過程���,確保了軟件供應(yīng)鏈的安全性和可追溯性,保障了軟件供應(yīng)鏈的安全和合規(guī)性�,并且大大提高了開發(fā)效率和開發(fā)工作的靈活性,是企業(yè)實現(xiàn)數(shù)字化轉(zhuǎn)型的重要支撐���。
核心產(chǎn)品系列更新升級
若論JFrog EveryOps統(tǒng)一平臺上的核心產(chǎn)品��,JFrog Artifactory當(dāng)仁不讓。但此次會議重點更強調(diào)了安全�、分發(fā)���、連接,分別對應(yīng)Advanced Security與Runtime Security����、JFrog Distribution與JFrog Connect;人工智能解決方案JFrog ML毫無疑義地“上榜”����。
JFrog中國技術(shù)總監(jiān)王青重點介紹了這些深得開發(fā)運維者們期待的解決方案詳細內(nèi)容:Advanced能夠在用戶Kubernetes集群中基于上下文快速找出假“陽性”漏洞并且提供修復(fù)建議、幫助快速修復(fù)�,Security Runtime,運行時掃描�;JFrog Distribution可幫助用戶快速把軟件從研發(fā)中心分發(fā)到云上或者數(shù)據(jù)中心;JFrog Connect解決方案針對物聯(lián)網(wǎng)設(shè)備版本更新升級提供二進制包更新的整個流程���;JFrog ML實現(xiàn)了對大模型的運維提供模型管理�����,涵蓋了整個模型供應(yīng)鏈編排包括模型的部署�����。
除此之外����,還有一項新的功能是安全極其左移——Curation把漏洞包隔離在公司之外。
需要注意的是�,這些功能已經(jīng)或者將陸續(xù)集成到JFrog EveryOps統(tǒng)一平臺上,為EveryOps賦予新的內(nèi)涵���。王青表示�,整套解決方案不僅是普通的制品���,還有安全掃描���、版本分發(fā)、LT設(shè)備以及大模型持續(xù)部署持續(xù)編排的能力����,使得JFrog的功能版圖也得到了極大的增強。
以下僅以Security Runtime及JFrog ML做一簡要介紹����。
1.Security Runtime
在當(dāng)下����,基于軟件供應(yīng)鏈的攻擊呈現(xiàn)了100倍的增長���,在軟件包創(chuàng)建、打包����、分發(fā)、部署時都會有各種各樣的網(wǎng)絡(luò)攻擊行為����。首個運行時安全解決方案Security Runtime解決方案使企業(yè)能夠?qū)踩詿o縫集成到開發(fā)流程的每一個環(huán)節(jié)——貫穿源代碼編寫,二進制文件部署和生產(chǎn)�����。
Security Runtime使用戶能夠追蹤和管理不同來源的軟件包����,按環(huán)境類型組織存儲庫,并激活 JFrog Xray 策略��,最終加強從代碼到運行時的安全性�����。作為 JFrog 的一部分,Security Runtime還能夠彌合團隊之間在可見性和協(xié)調(diào)性方面和認知差異���,優(yōu)化版本控制和軟件包開發(fā)���,同時確保研發(fā)、DevOps 和安全團隊能夠高效協(xié)作��,為開發(fā)人員節(jié)省寶貴時間��。
Security Runtime從兩個方面發(fā)現(xiàn)潛在的安全隱患:一是運行時的鏡像完整性��。該功能可以檢測對應(yīng)的鏡像是否來自Artifactory�����,如果不是���,系統(tǒng)會即刻提示��,這是業(yè)界所有的安全產(chǎn)品中僅JFrog能提供的功能���;二是運行時的影響,聚合了Xray基本能力以及Advanced Security高級掃描能力的Security Runtime可以同時發(fā)現(xiàn)鏡像中的所有漏洞及其風(fēng)險級別����,提供安全團隊立即進行針對性的修復(fù)。
2.JFrog ML
JFrog ML是一款全面的AI解決方案�����,它提供了從模型訓(xùn)練到部署再到監(jiān)控的全套工具�����,支持從GenAI和LLMs到經(jīng)典ML的各類模型��,允許數(shù)據(jù)科學(xué)家����、ML工程師和AI開發(fā)者輕松可靠地將AI和ML服務(wù)推向生產(chǎn)環(huán)境,通過將DevOps最佳實踐應(yīng)用于AI/ML�,簡化了整個流程,其Feature Store功能可以幫助用戶管理訓(xùn)練和推理的每個特征���,從任何源攝取和處理數(shù)據(jù)�����,并構(gòu)建強大的特征工程管道��。
JFrog ML還提供了對AWS和GCP的原生支持�����,允許用戶在JFrog平臺或自己的基礎(chǔ)設(shè)施上部署��,實現(xiàn)了云服務(wù)的無縫集成和生態(tài)自由度����。
此外,JFrog還提供了與Hugging Face的原生集成�,以及模型安全性和合規(guī)性功能等等。
合作伙伴關(guān)系不斷加強
在合作伙伴方面�,JFrog在swampUP 2024上也發(fā)布了亮眼的成就。
1.與NVIDIA的集成
與NVIDIA的集成是今年最大的亮點���。
NVIDIA是全球加速計算的領(lǐng)導(dǎo)者��,其GPU對很多致力于開發(fā)大模型的團隊而言是必不可少的硬件��,是實現(xiàn)大模型推理所需要的并行計算��。傳統(tǒng)NVIDIA的模型發(fā)布需要從NVIDIA模型中心區(qū)拉取模型再部署到NVIDIA訓(xùn)練集群中���。JFrog幫助用戶本地搭建Artifactory��,通過代理NGC的NVIDIA模型中心把模型緩存在企業(yè)內(nèi)部��,支持從本地Kubernetes集群拉取鏡像和拉取模型,既提升了鏡像和模型的拉取速度���,同時也幫助企業(yè)在本地實現(xiàn)模型化的管理����。
2.與GitHub的集成
GitHub是互聯(lián)網(wǎng)上最大的代碼管理倉庫�,雖然有著廣大的用戶群體,但卻缺乏制品管理功能�,導(dǎo)致制品存放位置、依賴關(guān)系����、漏洞信息等信息缺失。針對這樣的痛點�����,JFrog和GitHub深度集成合作�,為開發(fā)者提供能夠呈現(xiàn)項目狀態(tài)和安全態(tài)勢的綜合視圖,快速解決安全產(chǎn)品的潛在漏洞�����。如今,當(dāng)企業(yè)用戶在GitHub做Artifactory構(gòu)建的時候�,頁面上能夠直觀地跳轉(zhuǎn)到JFrog,直接觀察到展示的各種相關(guān)信息�����。
(1)聯(lián)合推出 Copilot Chat擴展插件����。將Copilot 的聊天功能與 JFrog 的制品元數(shù)據(jù)相結(jié)合,為開發(fā)者打造了一個強大的 AI 助手��,幫助開發(fā)者能夠使用 Copilot 快速了解并確保這些信息的可信度����,快速選擇已更新、經(jīng)企業(yè)批準(zhǔn)且可安全使用的軟件包��。GitHub Copilot 擴展插件還通過在 JFrog 二進制環(huán)境中提供有關(guān)開源軟件包的深入洞察以及 GitHub 代碼數(shù)據(jù)����。開發(fā)者無需搜索文檔或在線論壇,能夠基于安全性和市場應(yīng)用情況選擇軟件包,減少了大量開發(fā)過程和安全監(jiān)測流程中的溝通成本�。
(2)動態(tài)項目映射和身份驗證跨平臺SSO。開發(fā)者在集成的時候���,一個繁瑣的步驟就是做認證��,JFrog利用當(dāng)前的OpenID Connect(OIDC)集成���,改進了GitHub存儲庫和Artifactory中JFrog項目之間的自動授權(quán)和無縫項目映射�����,無需對每個存儲庫重新身份驗證����。
(3)GitHub Advanced Security和JFrog Advanced Security安全掃描結(jié)果的統(tǒng)一視圖可幫助開發(fā)者在開發(fā)生命周期的早期階段識別并消除潛在的軟件漏洞,從而節(jié)省時間成本并降低風(fēng)險�。這是JFrog和GitHub集成給開發(fā)者帶來的優(yōu)勢之一,JFrog提供從代碼到創(chuàng)建生產(chǎn)環(huán)境統(tǒng)一的端到端安全性��。
(4)Frogbot��。對代碼進行Commit����、Merge和Pull Request的時候�����,會主動觸發(fā)JFrog機器人進行掃描����,保證每次代碼合并請求都會實現(xiàn)一個安全的審核����,避免安全的漏洞進入到代碼庫。該功能已經(jīng)上線�����,GitHub的用戶以及JFrog的用戶可以立刻進行體驗��。
(5)雙向端到端發(fā)布追溯��。GitHub上的全新作業(yè)摘要頁面為開發(fā)者提供了每個GitHub Actions工作流運行和安全狀態(tài)的快速視圖�,開發(fā)者可以查看每個構(gòu)建的輸出軟件包,輕松跳轉(zhuǎn)至JFrog Artifactory中的位置并返回原頁面��。這種雙向?qū)Ш嚼肑Frog Artifactory中保存的軟件物料清單(SBOM)�����,增強了軟件追溯能力,實現(xiàn)了端到端的�、從源碼到制品紛發(fā)再到安全整體的解決方案。
王青總結(jié)說��,“JFrog簡化了開發(fā)人員與安全團隊之間的協(xié)作流程����,實現(xiàn)了DevSecOps任務(wù)的自動化,為現(xiàn)代云原生應(yīng)用開發(fā)節(jié)省了時間并進一步加強了安全性�����。它使團隊能夠?qū)崟r監(jiān)控Kubernetes集群����,從而根據(jù)實際風(fēng)險來識別�、優(yōu)先處理并快速解決安全隱患。此外�����,它還有助于確保鏡像完整性并有效滿足合規(guī)性要求��。”
與中國市場共同發(fā)展
2024年���,JFrog在中國的業(yè)務(wù)實現(xiàn)了持續(xù)增長����。
究其原因���,JFrog大中華區(qū)和日本地區(qū)總經(jīng)理董任遠表示�����,持續(xù)的數(shù)字化轉(zhuǎn)型為JFrog營造了良好的成長環(huán)境����,一個明顯的表現(xiàn)是�,國內(nèi)企業(yè)客戶對保障軟件供應(yīng)鏈安全的意識越來越明顯,大都在開發(fā)第一時間對所用的第三方產(chǎn)品實現(xiàn)相應(yīng)的檢測���,以盡早發(fā)現(xiàn)潛在隱患�����,解決問題�。他注意到,越來越多的中國用戶借助JFrog來取代或整合各種開源閉源�、但運維中效用相對較低的零散工具,實現(xiàn)了統(tǒng)一的制品安全以及交付管理�����;而不斷加速的出海進程�����,使得企業(yè)在海外建設(shè)數(shù)據(jù)中心的同時也要對JFrog進行相應(yīng)的部署并滿足各地合規(guī)需求�����,催生了JFrog的新的市場����。
“生態(tài)環(huán)境非常重要�����?���!倍芜h表示���,中國市場生態(tài)環(huán)境比較獨特,很多都希望JFrog的產(chǎn)品能夠部署在信創(chuàng)環(huán)境��。三年前�,JFrog就開著手跟所有國產(chǎn)的芯片、軟硬件互操作認證��,如今�,不少客戶部署在其專有系統(tǒng)環(huán)境下的JFrog解決方案已經(jīng)平穩(wěn)運行了兩年時間。
制造業(yè)特別是新能源汽車的快速發(fā)展甚至全球化布局���,讓董任遠看到了無限的潛能與機遇����。更多中國企業(yè)“走出去”����,勢必為JFrog的產(chǎn)品帶來更大的需求。他相信��,2025年JFrog在中國市場仍將保持高速的業(yè)務(wù)增長����。
