JFrog，全稱為捷蛙科技（北京）有限公司，是一家全球領(lǐng)先的軟件技術(shù)公司，2008年4月成立于以色列。JFrog專注于軟件交付和流式軟件領(lǐng)域，為開發(fā)人員和企業(yè)提供制品庫和安全功能，在全球擁有成千上萬的客戶和數(shù)百萬用戶，成為DevOps數(shù)據(jù)庫與版本和更新管理領(lǐng)域的一個重要標(biāo)準(zhǔn)。其使命是成為一家為世界上所有軟件更新提升效能的公司，驅(qū)動力是實現(xiàn)“流式軟件”的愿景。

JFrog提供了名叫DevOps Platform的全語言制品庫，支持豐富的語言開發(fā)包，是全球首個支持所有開發(fā)語言的軟件制品庫管理平臺，也是唯一能夠集成約30種最先進(jìn)的開發(fā)語言的共迎長，憑此吸引了大量的高科技互聯(lián)網(wǎng)行業(yè)用戶。

JFrog深入扎根DevOps生態(tài)，集成了Jenkins與各種CI/CD工具。現(xiàn)有企業(yè)無論使用了什么樣的DevOps流水線，都能無縫集成到系統(tǒng)中，實現(xiàn)快速的軟件發(fā)布。

漏洞數(shù)量的與日俱增與原因分析

隨著開源軟件的使用不斷增加，針對開源軟件的攻擊也在激增，開發(fā)者們遇到的新的攻擊也越來越多。比如針對NPM的CVE（開源組件的漏洞信息）的數(shù)量逐月增長——2023年上半年攻擊報告超過6000個。

JFrog認(rèn)為，一個很重要的原因是，開發(fā)者在以往倉庫的代碼中存在泄露自己的手機號以及ID、IP等密鑰信息的情況。通過對網(wǎng)上近400萬個軟件包掃描，JFrog檢測到超過25萬個TOKENS，這意味著在互聯(lián)網(wǎng)NPM等倉庫存在大量的TOKEN泄露，黑客通過key就能盜用、登錄或者植入遠(yuǎn)程代碼就可以侵入線上系統(tǒng)。

另一個新型攻擊方式是通過機器學(xué)習(xí)模型進(jìn)行投毒。在大模型社區(qū)，有一個非常著名的網(wǎng)站叫做Hugging Face，這個網(wǎng)站上存儲了大量由各行各業(yè)、各公司貢獻(xiàn)出來的開源模型，任何人都可以注冊賬號上傳模型，或者下載別人編輯過的模型文件；黑客借此將惡意代碼注入到大模型，利用模型下載隨意性進(jìn)行投毒。這種方式隱藏非常深，開發(fā)者非常難發(fā)現(xiàn)并且意識到已經(jīng)遭受了攻擊。

在一份針對著名投行的調(diào)查報告中， PIPER|SANDLER、Morgan Stanley 、KeyBanc Capital Markets等三家企業(yè)的首席執(zhí)行官分別表示，“安全仍是重中之重，預(yù)計67% 安全性將提升”，“安全軟件仍然是CIO 們關(guān)心的首要問題——2023 年第2 季度，五大軟件支出優(yōu)先事項中的四項與安全相關(guān)”，“安全性的優(yōu)先級位列最高，其優(yōu)先級的增幅最大”。

除了安全性的問題，如何將DevOps和安全合二為一進(jìn)行融合、協(xié)同，也是很多企業(yè)面臨的挑戰(zhàn)。雖然企業(yè)購置了各類安全掃描工具，但這些工具無法和DevOps流程有效結(jié)合，甚至阻止了DevOps流程的快速發(fā)布。

JFrog認(rèn)為，針對各種各樣的制品管理安全挑戰(zhàn)，企業(yè)普遍缺乏統(tǒng)一管理制品平臺和統(tǒng)一進(jìn)行掃描的能力。而JFrog的解決方案正好滿足了這方面的需求，幫助開發(fā)者們擺脫困境。

兩大核心能力與豐富的功能升級

JFrog軟件供應(yīng)鏈平臺基于兩大核心能力，一是制品管理， 通用場景（Artifactory）和分發(fā)（Distribution）這兩個組件實現(xiàn)版本的內(nèi)部管理和異地分發(fā)，二是具有上下文分析功能的 JFrog Advanced Security與主動檢測功能的XRAY，前者可在軟件投入生產(chǎn)后幫助快速評估關(guān)鍵漏洞和密鑰暴露，以便及時執(zhí)行修復(fù)工作，后者主動掃描開源軟件是否存在安全、合規(guī)問題。

JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)

“這些核心能力是很多企業(yè)的剛性需求，只要有研發(fā)團(tuán)隊就離不開這樣的能力來保駕護(hù)航?！?JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)說。

為了解決上述挑戰(zhàn)，在今年9月召開的在swampUP大會上，JFrog發(fā)布了大量新功能和新產(chǎn)品。JFrog中國技術(shù)總監(jiān)王青對這些升級的核心內(nèi)容進(jìn)行了介紹。

JFrog Curation

開發(fā)者下載一個軟件，通常要先下到本地內(nèi)網(wǎng)，但等到下載完畢交付安全工具掃描時，如果有漏洞，此時進(jìn)行掃描已經(jīng)晚了。Curation實現(xiàn)了在代理倉庫層進(jìn)行掃描，即用戶在嘗試用一個新的版本的開源組件時，會通過漏洞庫查詢該版本是否發(fā)現(xiàn)過漏洞，如果存在，下載請求會被阻斷，管理員也會收到通知。這個可以在遠(yuǎn)程倉庫進(jìn)行阻斷的業(yè)界領(lǐng)先的功能，目前僅有JFrog能夠?qū)崿F(xiàn)。

JFrog中國技術(shù)總監(jiān)王青

JFrog Curation還通過全新的開源軟件（OSS ）目錄功能，幫助企業(yè)防止惡意軟件包或漏洞進(jìn)入其開發(fā)環(huán)境。該功能改變了傳統(tǒng)在使用第三方軟件時需要去各種官網(wǎng)搜索該版本的做法，而是基于支持NPM、Python、Docker、Maven、NuGet、Go等多種語言倉庫和廣泛的搜索結(jié)果建立一個可信的開源軟件依賴庫，以軟件包界的“谷歌搜索”方式供開發(fā)人員、DevOps 工程師、AppSec 等使用，用戶只需搜索內(nèi)網(wǎng)，確認(rèn)安全后再下載。

靜態(tài)應(yīng)用程序安全測試（JFrog SAST）

SAST功能是對JFrog XRAY現(xiàn)有上下文分析、密鑰監(jiān)測、配置檢查、容器檢查之前二進(jìn)制掃描功能的補全，新增了靜態(tài)應(yīng)用程序檢查功能，這個開箱即用的功能幫助開發(fā)者在自己的開發(fā)工具中直接進(jìn)行代碼掃描，發(fā)現(xiàn)漏洞即可自行修復(fù)，還可以通過上下文分析來減少誤報，給開發(fā)者以極好的體驗。

Hugging Face本地存儲庫支持

一家公司，如果要做人工智能和機器學(xué)習(xí)（ML），勢必要從互聯(lián)網(wǎng)下載基礎(chǔ)的大模型到本地進(jìn)行調(diào)優(yōu)。調(diào)優(yōu)之后再上傳到通用場景，再進(jìn)行模型的發(fā)布。

這個過程中，Hugging Face是不可缺少的途徑之一。

以往大模型下載后是通過SQD或者對象存儲來管理，這在對象存儲中很難確認(rèn)某個文件存放的位置、具體的作用，很容易被誤刪或者覆蓋。JFrog第一時間為Hugging Face本地存儲庫提供支持，并且能夠快速掃描和檢測惡意機器學(xué)習(xí)模型，在需要之時阻止其使用，并確保代碼許可合規(guī)。

這個原生、官方首個支持Hugging Face本地存儲庫功能的功能，第一時間滿足從事AI和ML工作的用戶的需求。該功能的測試版現(xiàn)已面向 JFrog Cloud 客戶推出。

總體而言，JFrog提供了業(yè)界首款端到端的加速軟件安全的構(gòu)建發(fā)布平臺，該功能稱為Curation，自帶開源軟件目錄 CATALOG，同時支持了SAST，對現(xiàn)有XRAY漏洞掃描進(jìn)行功能補全，也發(fā)布了首次面向Hugging Face的原生集成，通過Artifactory就能實現(xiàn)對Hugging Face遠(yuǎn)程登陸下載及模型的上傳。

完善與升級渠道策略

JFrog在全球的銷售策略一直是以直銷為主，即直接面對用戶。由于業(yè)務(wù)快速發(fā)展，要擴大市場和維護(hù)好客戶，需要更多合作伙伴的支持。今年，JFrog在渠道大會也頒布了新的渠道政策，邀請更多的渠道伙伴加入其中。

策略之一，是將原來單一的渠道合作伙伴變成了多地域、多伙伴的模式，國內(nèi)在北京、上海、廣州、深圳、香港、臺灣都有了本地的合作伙伴，帶動了業(yè)務(wù)的增長。該項策略的調(diào)整始于2022年之初。據(jù)悉，這樣的成功經(jīng)驗也將復(fù)制到全球。

策略之二，是對合作伙伴沒有級別之分，一視同仁。傳統(tǒng)分銷有金牌、銀牌、銅牌等級別之分，每個級別都要求投入不同的資源。對JFrog來說，不論規(guī)模大小，只要愿意投入、愿意合作，就都?xì)g迎加盟，希望能夠和所有協(xié)作共贏，合作伙伴也不用擔(dān)心技術(shù)資源缺乏，不用擔(dān)心客戶要求苛刻，諸如POC、測試等方面的能力都由JFrog提供。

策略之三，是客戶優(yōu)先的渠道合作伙伴計劃。針對使用DevOps平臺、有很多需要進(jìn)行二次開發(fā)工作，或者需要咨詢服務(wù)的客戶，JFrog希望代理商通過培訓(xùn)提升能力，未來能夠完成一些增值的工作。

看好中國市場，持續(xù)加大投入

中國市場是全球最大的開發(fā)者社區(qū)，還有突飛猛進(jìn)的本地技術(shù)、國產(chǎn)自研的芯片以及自主開發(fā)的操作系統(tǒng)與多樣的軟件。從2022年起正式進(jìn)入中國以來，JFrog持續(xù)在加大投入，建立了最大規(guī)模的開發(fā)團(tuán)隊，與供應(yīng)鏈上的各個環(huán)節(jié)都在打通和連接；目前，公司在中國大陸有300多家客戶，港臺地區(qū)有200多家客戶，客戶數(shù)量持續(xù)增長。

2023年，JFrog在中國市場的業(yè)務(wù)增長非常快，增速比2022年提升了一倍，為此面向中國市場進(jìn)行了大量產(chǎn)品和渠道的調(diào)整與優(yōu)化。預(yù)計2024年仍將保持高速的增長。

對于中國市場，JFrog保持樂觀的態(tài)度。董任遠(yuǎn)表示，秉持著“In China, For China”， JFrog加強了研發(fā)，壯大了技術(shù)團(tuán)隊，希望能夠幫助客戶建設(shè)一種有中國特色的軟件制品管理的模式。