數(shù)字時代，軟件的安全合規(guī)問題是所有企業(yè)都會面臨的挑戰(zhàn)。隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的深化，如何快速交付可信任的軟件和AI應(yīng)用，成為很多企業(yè)關(guān)注的話題。為此，JFrog 軟件供應(yīng)鏈平臺應(yīng)動而生。

JFrog中國技術(shù)總監(jiān)王青認(rèn)為，JFrog目前核心的功能都在軟件供應(yīng)鏈管理和開源軟件的治理上。他表示，JFrog提供了一整套解決方案，不僅基于普通的制品、開發(fā)者的制品，而且還包括安全掃描，版本紛發(fā)、LT設(shè)備以及大模型持續(xù)部署持續(xù)編排的能力等等，功能版圖得到了極大的增強。

快速交付可信軟件和AI

我們知道，DevOps最大的痛點是如何進(jìn)行工具鏈的打通，快速且自動化的交付可信版本的軟件。為此，JFrog 將近八千家的成功案例進(jìn)行總結(jié)，發(fā)布了JFrog 軟件供應(yīng)鏈平臺，以制品庫為核心，打通了DevOps工具鏈，為企業(yè)提供端到端的可見性、安全性和控制能力，實現(xiàn)可信版本的自動化交付。

據(jù)王青介紹，作為軟件供應(yīng)鏈平臺，JFrog的業(yè)務(wù)不僅僅涉及制品管理，而是延伸到了整個軟件供應(yīng)鏈。其中，除了核心的JFrog Artifactory——全球唯一的全源制品庫管理之外，還有專門應(yīng)用于開源軟件隔離治理的JFrog Curation，漏洞掃描JFrog Xray等，這些都是軟件成分分析的重要工具。

今年9月份，JFrog Runtime Security正式發(fā)布，它能夠在用戶Kubernetes集群里快速修復(fù)，快速發(fā)現(xiàn)生態(tài)環(huán)境的漏洞，并且提供修復(fù)建議。王青表示，JFrog Runtime 使用戶能夠追蹤和管理不同來源的軟件包，按環(huán)境類型組織存儲庫，并激活JFrog Xray 策略，最終加強從代碼到運行時的安全性。作為 JFrog 的一部分，Runtime 還能夠彌合團隊之間在可見性和協(xié)調(diào)性方面和認(rèn)知差異，優(yōu)化版本控制和軟件包開發(fā)，同時確保研發(fā)、DevOps 和安全團隊能夠高效協(xié)作，為開發(fā)人員節(jié)省寶貴時間。

“除了制品庫核心功能之外，我們也有用于軟件發(fā)布的JFrog Distribution，幫助用戶把軟件快速地從研發(fā)中心分發(fā)到云上或者數(shù)據(jù)中心?！?王青表示，如果您的用戶需要有物聯(lián)網(wǎng)的設(shè)備版本進(jìn)行更新，JFrog還提供了JFrog Connect，該解決方案專門提供物聯(lián)網(wǎng)設(shè)備的二進(jìn)制包更新的整個流程。

除此之外， JFrog ML（ML即為machine learning）也于今年正式發(fā)布，該功能可以實現(xiàn)對大模型的運維提供模型管理，其中涵蓋了整個模型供應(yīng)鏈編排包括模型的部署。

可以看出，JFrog軟件供應(yīng)鏈平臺為開發(fā)過程中所使用和生成的所有軟件包、數(shù)據(jù)和 ML 模型提供唯一可信源，幫助企業(yè)實現(xiàn)全自動化的質(zhì)量控制，確保軟件版本最高級別的安全性和合規(guī)性。

攜手合作打造業(yè)界最佳平臺

除了發(fā)布軟件供應(yīng)鏈平臺以及眾多新功能之外，JFrog與業(yè)界的合作在今年也有很大的進(jìn)展。據(jù)王青介紹，JFrog通過與NVIDIA合作，幫助企業(yè)在本地實現(xiàn)模型化的管理。與此同時，JFrog還與GitHub合作打造了面向 EveryOps 的軟件供應(yīng)鏈平臺，包括DevOps、DevSecOps、MLOps和生成式AI驅(qū)動型應(yīng)用程序。

我們知道，英偉達(dá)NIM微服務(wù)能夠幫助企業(yè)快速地把英偉達(dá)提供的模型部署到整個K8s 運行環(huán)境，達(dá)到快速訓(xùn)練模型的目的。在實際使用中，用戶會發(fā)現(xiàn)這個模型由于下載速度慢，因此在本地拉取的速度非常慢?；谶@樣的需求，JFrog提供了幫助用戶實現(xiàn)本地搭建Artifactory的功能，通過代理NGC的NVIDIA模型中心，把模型緩存在企業(yè)內(nèi)部，在本地KBS集群拉取鏡像和拉取模型時，都可以從Artifactory進(jìn)行拉取。一方面能夠提升鏡像和模型的拉取速度；另一方面能夠幫助企業(yè)在本地實現(xiàn)模型化的管理。

王青表示，JFrog Xray還能夠?qū)Υ竽Ｐ瓦M(jìn)行惡意模型的掃描，幫助企業(yè)規(guī)避被模型倉庫里惡意模型攻擊的隱患。

今年6月，JFrog與GitHub合作，實現(xiàn)了雙向集成。據(jù)了解，雙方共同制定的發(fā)展路線圖聚焦于源代碼和二進(jìn)制文件之間的無縫導(dǎo)航和可追溯性、GitHub Actions和JFrog Artifactory的持續(xù)集成和部署，以及統(tǒng)一的安全檢測結(jié)果視圖，以便為軟件供應(yīng)鏈安全和跨GitHub和JFrog高級安全產(chǎn)品的策略提供一站式解決方案。此外，通過利用GitHub Copilot來進(jìn)行的對話和查詢制品及流水線狀態(tài)，以確保項目順利推進(jìn)。

為了幫助開發(fā)者深入快速了解第三方軟件包，JFrog和GitHub還合作推出了 Copilot Chat擴展插件。Copilot 的聊天功能與 JFrog 的制品元數(shù)據(jù)相結(jié)合，為開發(fā)者打造了一個強大的 AI 助手，幫助開發(fā)者能夠使用 Copilot 快速了解并確保這些信息的可信度，快速選擇已更新、經(jīng)企業(yè)批準(zhǔn)且可安全使用的軟件包。

與此同時，雙方還合作推出了跨平臺的SSO， JFrog利用當(dāng)前的 OpenID Connect（OIDC）集成改進(jìn)了 GitHub 存儲庫和 Artifactory 中 JFrog 項目之間的自動授權(quán)和無縫項目映射，開發(fā)者無需對每個存儲庫重新進(jìn)行身份驗證。

在保障安全性方面，GitHub Advanced Security 和 JFrog Advanced Security（包括發(fā)現(xiàn)上述 Python 漏洞的掃描程序）安全掃描結(jié)果的統(tǒng)一視圖可幫助開發(fā)者在開發(fā)生命周期的早期階段識別并消除潛在的軟件漏洞，從而節(jié)省時間成本并降低風(fēng)險。此外，JFrog 提供的Frogbot工具能夠讓開發(fā)者在對代碼進(jìn)行Commit、 Merge和Pull Request時主動觸發(fā)JFrog機器人對代碼進(jìn)行掃描，保證每次代碼合并請求都會實現(xiàn)一個安全的審核，避免一些安全的漏洞進(jìn)入到代碼庫。

王青表示，JFrog和GitHub實現(xiàn)了雙向端到端發(fā)布追溯，利用 JFrog Artifactory 中保存的軟件物料清單（SBOM），增強了軟件追溯能力，實現(xiàn)了端到端的，從源碼到制品分發(fā)再到安全整體的解決方案。

三大特點保持中國市場的高速增長

2024年，JFrog在中國業(yè)務(wù)實現(xiàn)了持續(xù)的增長。分析原因，JFrog大中華區(qū)和日本地區(qū)總經(jīng)理董任遠(yuǎn)認(rèn)為主要有四個方面的因素。

一是中國客戶在開發(fā)運維當(dāng)中，通常使用了多樣化的工具，有些是開源的，有些是閉源的，每一個項目工具都有一些自己的功能特點。但是在整個運維當(dāng)中，效用相對較低。2024年，很多客戶利用JFrog來代替零散的工具，從而實現(xiàn)統(tǒng)一的制品安全以及交付管理。

二是中國市場客戶正在持續(xù)進(jìn)行數(shù)字化轉(zhuǎn)型，對于JFrog解決方案的依賴以及軟件供應(yīng)鏈安全的完善是必要的。

三是中國企業(yè)現(xiàn)在逐漸在加速企業(yè)出海，因此有的企業(yè)不僅是在中國本地有數(shù)據(jù)中心，正在其海外的目標(biāo)市場，也會建立相應(yīng)的數(shù)據(jù)中心。

四是中國的企業(yè)客戶對于保障軟件供應(yīng)鏈安全的意識越來越明顯?，F(xiàn)在很多客戶都是在開發(fā)第一時間對于所用的第三方產(chǎn)品實現(xiàn)相應(yīng)的檢測，以確保在第一時間內(nèi)發(fā)現(xiàn)潛在隱患，解決問題。

談到與中國企業(yè)的合作，董任遠(yuǎn)表示，軟件是要跟上下游打通的，所以生態(tài)環(huán)境非常重要。在JFrog來看，中國市場生態(tài)環(huán)境是比較獨特的，中國的很多客戶都希望JFrog的產(chǎn)品能夠部署在信創(chuàng)環(huán)境。據(jù)介紹，JFrog大概在二三年前就已經(jīng)開始做國產(chǎn)化布局，并跟所有的國產(chǎn)芯片，軟硬件都做了互操作認(rèn)證。中國也有很多客戶現(xiàn)在已經(jīng)把JFrog部署在它的系統(tǒng)環(huán)境下，并且運行了至少有將近一兩年的時間。這樣的布局，為JFrog在中國市場繼續(xù)發(fā)展提供很好的工具，適用中國市場的科技環(huán)境。

談到未來發(fā)展，董任遠(yuǎn)表示， 2025年中國市場還會保持高速的增長，尤其是在制造業(yè)。相信在2025年，JFrog在中國市場將會保持高速的業(yè)務(wù)增長。