JFrog（納斯達(dá)克股票代碼：FROG）近期宣布在其安全功能套件中新增JFrog Runtime，使企業(yè)能夠?qū)踩詿o縫集成到開發(fā)流程的每一個環(huán)節(jié)——貫穿源代碼編寫，二進(jìn)制文件部署和生產(chǎn)。JFrog簡化了開發(fā)人員與安全團(tuán)隊之間的協(xié)作流程，實現(xiàn)了 DevSecOps 任務(wù)的自動化，為現(xiàn)代云原生應(yīng)用開發(fā)節(jié)省了時間并進(jìn)一步加強(qiáng)了安全性。它使團(tuán)隊能夠?qū)崟r監(jiān)控 Kubernetes 集群，從而根據(jù)實際風(fēng)險來識別、優(yōu)先處理并快速解決安全隱患。此外，它還有助于確保鏡像完整性并有效滿足合規(guī)性要求。

JFrog Security 首席技術(shù)官 Asaf Karas 表示：“ 隨著企業(yè)越來越多地通過左移來應(yīng)對當(dāng)今日益嚴(yán)峻的安全威脅，孤立工具之間的脫節(jié)給開發(fā)人員、安全團(tuán)隊和 MLOps 團(tuán)隊帶來了額外的壓力。企業(yè)可以通過采用統(tǒng)一的平臺，在整個開發(fā)和安全流程中提供端到端的可視性、修復(fù)和可追溯性，以此減輕工作負(fù)擔(dān)。通過為 DevOps、數(shù)據(jù)科學(xué)家和平臺工程師提供從左側(cè)安全模型掃描和整理到右側(cè) JFrog Runtime 的集成解決方案，企業(yè)可以顯著提高大規(guī)模交付可信軟件的能力?！?/p>

JFrog與IDC合作的最近的一項調(diào)查發(fā)現(xiàn)，企業(yè)在每位開發(fā)人員身上每周平均花費(fèi) 542 美元用于與安全相關(guān)或 DevSecOps 相關(guān)任務(wù)，相當(dāng)于每年在該項支出189萬美元。開發(fā)人員希望專注于編碼，而安全團(tuán)隊則優(yōu)先考慮降低風(fēng)險。JFrog Runtime 使用戶能夠追蹤和管理不同來源的軟件包，按環(huán)境類型組織存儲庫，并激活 JFrog Xray 策略，最終加強(qiáng)從代碼到運(yùn)行時的安全性。作為 JFrog 的一部分，Runtime 還能夠彌合團(tuán)隊之間在可見性和協(xié)調(diào)性方面和認(rèn)知差異，優(yōu)化版本控制和軟件包開發(fā)，同時確保研發(fā)、DevOps 和安全團(tuán)隊能夠高效協(xié)作，為開發(fā)人員節(jié)省寶貴時間。

iTMethods 首席執(zhí)行官 Paul Goldman 表示：“運(yùn)行時安全對我們的客戶至關(guān)重要，因為它能確?？蛻舻膽?yīng)用程序在運(yùn)行期間得到保護(hù)。隨著云環(huán)境的日益復(fù)雜和容器化應(yīng)用的興起，對潛在漏洞的實時可見性至關(guān)重要。JFrog Runtime將幫助我們的客戶快速檢測威脅并做出響應(yīng)，從而保護(hù)數(shù)據(jù)安全并維護(hù)對云服務(wù)的信任，以此增強(qiáng)安全環(huán)境?！?/p>

相關(guān)行業(yè)研究表明，五分之一的應(yīng)用程序存在運(yùn)行時風(fēng)險，所有應(yīng)用程序中約有20%在執(zhí)行階段存在高風(fēng)險、嚴(yán)重風(fēng)險或災(zāi)難性問題。通過為在容器中運(yùn)行的快速、動態(tài)應(yīng)用程序?qū)崿F(xiàn)自動化的安全措施，JFrog Runtime安全滿足了云原生環(huán)境對可視性和洞察力的獨(dú)特需求。

JFrog Runtime 的主要功能和優(yōu)勢包括：

● 實時漏洞可視性：實時洞察運(yùn)行環(huán)境中的漏洞。

● 利用高級優(yōu)先級加速分流：根據(jù)業(yè)務(wù)影響簡化安全事件的識別和優(yōu)先級排序。

● 通過暴露管理降低風(fēng)險：快速識別易受攻擊軟件包的來源和所有權(quán)，從而更快地降低風(fēng)險。

● 基于云的工作負(fù)載保護(hù)：通過持續(xù)監(jiān)控部署后威脅（如惡意軟件攻擊和權(quán)限升級），幫助保護(hù)應(yīng)用程序。

● 針對 Kubernetes 集群的全面分析：啟用對工作負(fù)載和容器的持續(xù)運(yùn)行時評估，以便實時檢測漏洞，并與 JFrog Artifactory 中的相應(yīng)進(jìn)程和文件保持對齊。

● 集中事件感知：維護(hù)運(yùn)行時環(huán)境的綜合視圖，以助力實現(xiàn)準(zhǔn)確的事件識別和響應(yīng)。

IDC DevSecOps和軟件供應(yīng)鏈安全研究經(jīng)理Katie Norton表示：“ 一個能夠統(tǒng)一從開發(fā)到生產(chǎn)全流程軟件供應(yīng)鏈安全的平臺，可為開發(fā)人員和DevSecOps團(tuán)隊提供關(guān)鍵的可視性和可追溯性，以便他們有效管理和緩解風(fēng)險。JFrog新增的運(yùn)行時安全支持左移和右移策略，實現(xiàn)了全面保護(hù)并簡化了工作流程，減輕了開發(fā)和安全團(tuán)隊的壓力”

JFrog Runtime 補(bǔ)充了JFrog 已頗為強(qiáng)大的高級安全功能套件，包括：

● AI/ML 模型監(jiān)管：JFrog Curation可在惡意 ML 模型進(jìn)入企業(yè)之前，及早發(fā)現(xiàn)并阻止從 Hugging Face 等開源存儲庫中檢索到的惡意 ML 模型，從而保護(hù)軟件供應(yīng)鏈。JFrog 通用且可擴(kuò)展的安全平臺還可原生代理 Hugging Face，允許開發(fā)人員訪問開源 AI/ML 模型，同時檢測惡意模型，在必要時阻止其使用，并確保許可證合規(guī)性，從而更安全地使用 AI。

● 安全開源軟件目錄：JFrog 開源軟件（OSS）包目錄提供了一個使用 JFrog UI 或 API的“軟件包搜索引擎”。在公共數(shù)據(jù)和 JFrog 數(shù)據(jù)的支持下，OSS包目錄可讓用戶快速了解與所有OSS包相關(guān)的安全和風(fēng)險元數(shù)據(jù)。