在数字时代的今天,软件已经成为企业运营的核心资产。无论是从企业的管理还是生产运营,软件产品无处不在。不过,随着开源软件使用量的逐步增加,企业在软件开发过程中,还遇到了大量的安全问题。为此,JFrog最近发布了一些新功能,旨在为软件发布的质量、安全性、MLOps 和完整性设定标准。
近期,JFrog大中华区总经理董任远在接受记者采访时表示,传统软件开发要经历开发、测试、部署、运维等等流程,在任何一个环节当中都有可能遇到安全问题。为此,从创建到生产,JFrog 平台在软件开发生命周期的每个阶段都注入二进制级别的安全性,以确保应用程序的可追溯性、可靠性、合规性和安全性,确保开发人员第一时间检查软件漏洞,彻底排除不安全因素。
以端到端平台加速安全软件构建与发布
安全问题已经数字时代企业面临的巨大挑战。
在JFrog中国技术总监王青看来,企业开发者们正在面对诸如NPM CVE漏洞、 NPM恶意软件包攻击等全新挑战。数据显示,针对NPM恶意包的报告基本在2023年上半年达到超过6000个攻击。
王青表示,开发者在过往仓库里泄露的一些密钥信息成为黑客盗用、登录或者植入远程代码侵入线上系统的主要手段。JFrog对互联网上将近400万个包进行扫描,发现超过25万个TOKENS被检测到,这就意味着在互联网NPM等仓库存在大量的TOKEN泄露。
除了密钥泄露,通过机器学习模型进行投毒的新型攻击方式也成为企业面临的重要挑战。例如,在大模型社区网站Hugging Face上存储了大量由各行各业、各个公司贡献出来的开源模型,任何人都可以注册账号在网上上传模型,任何人也可以下载别人编辑过的模型文件,这就给黑客提供了利用模型下载进行投毒的必然性。
在王青看来,之所以出现这样的安全问题,主要是由于很多企业缺乏统一管理制品的平台和统一进行扫描的能力。为此,JFrog发布了新的产品和新的能力,为企业的研发团队保驾护航。
王青表示,JFrog Curation新产品一方面通过集中可见性和控制对第三方(OSS)软件包下载,另一方面通过提供主动预防和阻止恶意和不需要的软件包降低开发风险。此外,JFrog Curation还提供了自动管理的第三方可信软件包,并通过提升DevSecOps运营体验并实现成本节约,通过在SDLC中实现无缝集成并减少后期修复工作。
据介绍,JFrog的全新 ML 模型管理功能可快速扫描和检测恶意机器学习模型,在需要之时阻止其使用,并确保许可证符合公司政策,从而更安全地使用 AI。JFrog ML 模型管理功能的测试版现已面向 JFrog Cloud 客户推出。而静态应用程序安全测试(SAST)与多种开发环境无缝集成,帮助客户快速准确地扫描源代码中的零日安全漏洞。JFrog SAST 还可以通过上下文分析来减少误报,帮助确定问题的优先级并采取纠正措施。
以客户为中心的销售策略
我们知道,JFrog在全球一直采用直销的销售策略,即直接面对用户,跟客户做生意。
随着业务的快速发展,客户的需求变得更加多样,直销策略显然已经无法满足用户的需求。于是,在今年召开的JFrog渠道大会上,JFrog颁布了新的渠道销售政策,希望通过联合更多的渠道合作伙伴,更好的服务客户。
在本次媒体沟通会上,董任远就新的渠道政策与媒体进行也沟通。他表示,传统的销售政策有分级、金牌、银牌、铜牌,每个级别要投入不同的资源,并根据投入资源来进行分级。JFrog制定的政策和传统分销不太一样,我们希望和所有合作伙伴协作共赢。因此,对JFrog的所有合作伙伴,没有采取任何区分,只要愿意投入、愿意合作,JFrog都会欢迎。
董任远同时强调,我们从来不担心技术资源的问题,例如合作伙伴的POC、测试等方面都由JFrog提供。与其它企业不同,我们希望在培训客户时也把合作伙伴培养起来,将来能够自己独立的完成跟客户的交流以及测试。
“未来,我们也对代理商合作伙伴进行了很好的规划,因为很多的客户使用我们的DevOps平台,在这个平台上有很多需要进行二次开发的工作,或是需要很多的咨询服务。我们希望通过对代理商的培训,提高他们的能力,将来能够形成一些增值工作。” 董任远如是说。
秉持“In China, For China” 加大中国市场投入
虽然进入中国的时间不长,但JFrog始终认为中国是一个发展潜力巨大的市场,并不断加大投放。
董任远表示,在与中国客户合作过程中,我们发现中国市场非常特殊。为此,JFrog成立了本地技术团队,与中国芯片、操作系统和各种各样软件进行连接、打通,以此来更好的服务中国客户。
在中国,JFrog在2022年初就开始了一项调整,由原来单一渠道合作伙伴变成了多地域、多伙伴的模式。据董任远介绍,目前北京、上海、广州、深圳、香港、台湾,JFrog都有本地合作伙伴,并由原来一家合作伙伴变成了多家。
“我们把中国的业务看成一个平台,即JFrog平台,其中有七个核心产品。最关心的有两个核心产品,一是制品库,二是XRAY。” 董任远表示,今年JFrog在中国又新加了一些产品,丰富了产品线。同时,我们在中国将近400-500家客户和超过30家合作伙伴。他强调,中国未来的发展潜力巨大,因此我们专门针对中国客户进行了产品和渠道策略的调整,以此来满足中国客户的需求,帮助他们更好地管理、运维核心资产。
采访最后,董任远表示,JFrog秉持着“In China, For China”战略,持续加大研发,加大技术团队投放,希望在中国能够帮助客户建设一种具有中国特色的软件制品管理模式。