作者 | 程茜
编辑 | 心缘
智东西12月5日报道,今天,在DevOps软件开发公司JFrog(捷蛙科技)的线上媒体沟通会上,JFrog大中华区总经理董任远、JFrog中国技术总监王青详细解读了JFrog已推出的一系列新功能和新工具,这些工具针对的是企业在制品管理和安全方面遇到的挑战。
JFrog提供了业界首款端到端的加速构建安全软件的发布平台,基于这一大平台,JFrog拥有7个核心产品,包括JFrog Artifactory、Distribution、JFrog Xray和JFrog Advanced Security等。其中,Curation功能自带开源软件目录;SAST支持静态代码扫描,并对现有漏洞扫描进行了功能的补全;并且首次发布了面向Hugging Face的原生集成存储库。
王青告诉智东西,传统的安全扫描拼得是谁家的漏洞库更大、扫描更全、速度更快,JFrog的安全扫描就是降维打击。JFrog是在制品库层面进行安全扫描,并且DevOps和安全信息相聚合。
在制品管理和安全可控方面,JFrog的一大优势就是做到了上下文分析。王青谈道,此外,假设Java工程里引入了漏洞包,但没有在Java代码中调用,传统工具会扫描出这个包有漏洞,需要开发者修复,但开发者修复时会发现并没有调用代码,会增加扫描的无效成本。JFrog的高级扫描套件可以基于漏洞版本的引用进行代码反编译,找到哪一代码行调用了漏洞包,从而降低开发者修复假阳性漏洞的成本。
JFrog的命名由来是,创始人希望公司像青蛙一样不停向前跳跃,并在每一次跳跃中完成技术升级。JFrog要做的就是创造从开发人员到设备之间的软件交互环境,包括开发、测试、运维、数据中心、设备的每个流程,让这些工作流程顺畅,也就是流式软件。
JForg的客户数量已经超7200家,覆盖了全球90%以上的100强客户,中国的客户数量在400-500家左右。
一、全球首个软件制品库管理平台,检测到超25万tokens泄露
JFrog是全球第一个支持所有语言的软件制品库管理平台,能集成将近30种先进开发语言。JFrog中国技术总监王青谈道,市面上仅有JFrog能支持全语言开发者需要的软件包管理平台。
开发者工作中会遇到很多新的挑战,如每天每月CVE(通用漏洞披露)数量都在增加,针对于NPM恶意软件包攻击的数量,王青透露,根据NPM恶意软件包报告的数据,2023年上半年攻击数量已经超过6000个。
与此同时,他谈道,JFrog管理了企业内部所有的软件包,因此最适合为企业做软件包管理日志,并完成安全扫描。JFrog的方式弥补了现有安全扫描工具的痛点。
JFrog在开发者遇到的新挑战中发现,开发者在公有存储库中很可能会泄漏机密信息,王青举例说,开发者在公共存储库中泄漏了自己的手机号等,互联网黑客就可以盗用、登录或者读取并修改源代码。
事实上,JFrog扫描了互联网上将近400万软件包后,检测到了超25万tokens,王青说,这说明互联网上NPM仓库等存在大量token泄露的现象。这种情况下,企业更需要尽早排查内部有没有员工在不知情情况下泄漏了密钥信息。
还有一种新的攻击方式就是,通过机器学习模型“投毒”。AI开源社区Hugging Face上有大量开源模型,有的黑客会将恶意代码隐藏在二进制数据中,王青谈道,这种攻击方式防不胜防,开发者很难意识到被攻击。
二、 两大核心能力 协同DevOps流程和安全扫描
面对各种各样的制品管理和安全挑战,很多企业都缺乏统一管理、扫描制品的平台和能力。
JFrog的平台有两大能力,第一个是制品管理能力,其中JFrog Artifactory和Distribution可以进行版本的内部管理和异地分发;第二个是安全功能的JFrog Xray和JFrog Advanced Security,其中JFrog Xray专门扫描开源软件是否有安全合规方面的问题。
王青谈道,这两大核心能力也是众多企业的刚性需求。去年到今年,企业都在关注如何将DevOps和Security合二为一。
很多企业购买的安全扫描工具无法和DevOps流程结合起来,甚至安全扫描工具还会阻止DevOps流程快速发布。因此,如何将这两大要素更好协同起来是目前企业面临的一大挑战。
为了解决这一挑战,JFrog发布了一系列新功能、新产品。
首先是JFrog Curation,开发者通常会将软件下载到公司内网中,再将版本上传到安全扫描工具中,才能扫描出漏洞。这一环节中安全扫描时间滞后。
因此,JFrog要将安全扫描左移,支持开发者在流水线、ADMIN扫描。Curation的新功能支持开发者在代理仓库进行扫描,也就是说用户在尝试使用一个新版本开源组件时,JFrog的工具就回去漏洞库查询这一版本有没有漏洞,如果有的话就会阻断下载请求。
王青谈道,目前业界仅有JFrog能实现在远程仓库进行管理这一功能。
第二大新功能是Curation的另一功能Catalog,王青谈道,这相当于为开发者打造了一个软件包的谷歌搜索。程序员下载第三方软件时,可以直接在内网搜索,确认安全可用再进行下载,提供了可信的开源软件库,从源头上保证软件的安全。
他补充道,未来,JFrog还会提供私有目录的功能,就是将企业审批过的版本保存在内容,形成私有仓库。
第三大新功能是JFrog SAST(静态应用程序安全测试),这一功能就是对JFrog Xray二进制扫描功能的补全。现有的Xray扫描提供了上下文分析、密钥检测、配置检查、容器检查,SAST就是新增的功能。
SAST能帮助开发者在自己的开发工具里进行代码扫描,有漏洞开发者就能快速发现并修复。JFrog还会为开发者提供修复漏洞的代码片段。
最后在AI和机器方面,JFrog做了Hugging Face仓库支持。企业需要从Hugging Face中下载基础大模型进行微调,基于对象存储等的大模型管理方式,会导致大模型文件很容易被误删或者覆盖。
王青透露,JFrog Artifactory是第一个原生、官方支持Hugging Face的仓库。
结语:数字化转型加速,制品库管理企业软资产
越来越多的企业开始加速数字化转型,董任远谈道,企业有软件开发的人员,就一定有对于JFrog产品的需求,过去几年,很多企业在做数字化转型,从硬资产向软资产迁移,这会带来越来越多的开发运维需求。
面向中国市场,JFrog根据企业的需求进行了产品、渠道的调整。他补充道,JFrog的客户都意识到公司的软件资产是核心资产,就需要制品库来运维管理这一核心资产。
此外,董任远谈道,在商业层面,JFrog的中国客户采用私有化部署,海外企业则多部署到云上,下一步如果中国企业开始扩展全球市场,JFrog能帮助其进行战略部署。
