傳統(tǒng)的軟件開發(fā)到交付中間會有很多環(huán)節(jié)，比如開發(fā)、測試、運維、數(shù)據(jù)中心、設備，通常每個環(huán)節(jié)都要有不同的工作流程，那么如何讓這些工作流程更加順暢呢？這就是JFrog的使命。日前，JFrog大中華區(qū)總經(jīng)理董任遠通過網(wǎng)絡與媒體交流時表示，公司名字叫做JFrog，是與青蛙有關(guān)，公司當時的創(chuàng)始人希望公司能夠像青蛙一樣不停地向前跳躍，因為青蛙只會向前跳，而且通過不斷的跳躍完成一次次升級。在此基礎(chǔ)上，JFrog也加載了一些新的安全上的功能，可以使工作人員第一時間檢查到軟件有哪些漏洞和不安全的因素。

幫助用戶實現(xiàn)快速安全的軟件發(fā)布

JFrog中國技術(shù)總監(jiān)王青告訴記者，JFrog提供的是全語言制品庫，也叫DevOps Platform。它支持各種各樣的語言開發(fā)包，是全球第一個支持所有開發(fā)語言的軟件制品庫管理平臺，目前只有JFrog能夠集成將近三十種左右最先進的開發(fā)語言，這也是為什么有很多高科技互聯(lián)網(wǎng)公司都在用我們的產(chǎn)品。JFrog在整個DevOps生態(tài)扎根非常深入，包括Jenkins、各種CI/CD工具都集成。因此，在現(xiàn)有的企業(yè)中，無論使用了什么樣的DevOps流水線都能無縫集成到系統(tǒng)里來，幫助用戶實現(xiàn)快速的軟件發(fā)布。

JFrog中國技術(shù)總監(jiān)王青

JFrog提供了業(yè)界首款端到端的加速軟件安全的構(gòu)建發(fā)布平臺，該功能稱為Curation，自帶開源軟件目錄CATALOG，同時支持了SAST，對現(xiàn)有XRAY漏洞掃描進行功能補全。王青表示，JFrog也發(fā)布了首次面向Hugging Face的原生集成，通過Artifactory就能實現(xiàn)對Hugging Face遠程登陸下載及模型的上傳。

我們在開發(fā)者遇到一些新的挑戰(zhàn)中發(fā)現(xiàn)，開發(fā)者在過往倉庫里有可能泄露一些密鑰信息。王青介紹說，JFrog對互聯(lián)網(wǎng)上將近400萬個包進行了掃描，最后超過25萬個TOKENS被我們檢測到了，這意味著在互聯(lián)網(wǎng)NPM等倉庫存在大量的TOKEN泄露，這是很多企業(yè)沒有發(fā)現(xiàn)的未知的數(shù)據(jù)，因此，需要在企業(yè)內(nèi)部排查一下員工有沒有在不知情的情況下泄露一些密鑰到公網(wǎng)倉庫。除了密鑰泄露，另外一個新型攻擊方式是通過機器學習模型進行投毒。在大模型社區(qū)有一個非常著名的網(wǎng)站叫做Hugging Face，這個網(wǎng)站上存儲了大量由各行各業(yè)、各公司貢獻出來的一些開源模型，任何人都可以注冊賬號在網(wǎng)上上傳模型，任何人也可以下載別人編輯過的模型文件。有的黑客就利用模型下載的隨意性進行投毒。黑客可以將惡意代碼注入到大模型里，來調(diào)用本地的資源機程序。通過這種隱藏非常深的方式來實現(xiàn)基于大模型的投毒。這種攻擊方式是防不勝防的，開發(fā)者非常難發(fā)現(xiàn)并且意識到他被攻擊。JFrog管理了企業(yè)內(nèi)部所有的軟件包，同時也可以做安全掃描。只有當擁有包管理權(quán)之后才能對它進行安全治理，因此，JFrog的這種方式彌補了現(xiàn)有很多安全掃描工具的很大的痛點。

面對各種各樣的制品管理安全挑戰(zhàn)，很多企業(yè)都缺乏統(tǒng)一管理制品的平臺和統(tǒng)一進行掃描的能力，此時就需要JFrog來提供幫助。王青說，我們做的主要是兩大核心能力，一是制品的管理，包括Artifactory和Distribution，進行版本的上傳和分發(fā)，這兩個組件能夠?qū)崿F(xiàn)版本的內(nèi)部管理和異地分發(fā)。第二個核心功能是和安全相關(guān)的Artifactory，JFrog XRAY加我們的高級掃描，XRAY是專門掃描開源軟件有沒有一些合規(guī)性的問題，包括安全性的問題。這些核心能力也是很多企業(yè)的剛性需求，只要有研發(fā)團隊就需要這樣的能力來保駕護航。

在DevOps和安全合二為一如何融入起來，這是很多企業(yè)面臨的挑戰(zhàn)。很多企業(yè)買了很多安全掃描工具，但安全人員發(fā)現(xiàn)這些安全掃描工具無法和DevOps流程結(jié)合起來，甚至安全工具的掃描阻止了DevOps流程的快速發(fā)布。王青說，為了解決這一挑戰(zhàn)，我們發(fā)布了很多新功能和新產(chǎn)品，JFrog Curation就是其中的杰出代表。怎樣把掃描左移到最左側(cè)，這就需要支持開發(fā)者在流水線掃描，JFrog Curation做的是在代理倉庫這一層掃描，即用戶在嘗試用一個新的版本的開源組件時，JFrog Curation會通過漏洞庫查詢這個版本有沒有發(fā)現(xiàn)過漏洞，如果有，下載請求會被阻斷，管理員也會收到通知。這是業(yè)界領(lǐng)先的，可以在遠程倉庫進行阻斷的，目前僅有JFrog能夠?qū)崿F(xiàn)的功能。

Curation產(chǎn)品包含另外一個功能叫做CATALOG。目前JFrog掃描了互聯(lián)網(wǎng)上大概400萬個包，這里面是支持四種語言倉庫NPM、Python、Docker、Maven，后面還將支持像NuGet、Go等多種語言。只需在JFrog CATALOG從內(nèi)網(wǎng)里就可以搜索，搜索以后發(fā)現(xiàn)沒有問題再下載，下載的版本都是可信的，可以從源頭上保障軟件安全，這是因為我們給用戶提供了一個可信的開源軟件依賴庫。未來會提供一個很好的功能叫做私有目錄，該功能可以把審批過的版本保存在企業(yè)內(nèi)部變成一個私有倉庫供大家使用。

JFrog SAST（靜態(tài)應用程序安全測試）是對JFrog XRAY之前二進制掃描功能的補全。在現(xiàn)有的XRAY掃描提供了上下文分析、密鑰監(jiān)測、配置檢查、容器的檢查，新增功能是靜態(tài)應用程序檢查。能夠幫助開發(fā)者在自己的開發(fā)工具里面直接進行代碼掃描，有漏洞，開發(fā)者自己就可以發(fā)現(xiàn)并且立刻就能修復了。王青還透露，對于大家關(guān)注的AI和ML，JFrog第一時間做了Hugging Face倉庫的支持，并且能夠掃描Hugging Face倉庫中的License是否合規(guī)。在未來，我們首先會對軟件供應鏈整個鏈條上的安全能力、安全組件、包括license信息進行分析。其次會對供應鏈里面的一些高級的攻擊行為進行捕捉，比如密鑰泄露，基于上下文的分析，來精準識別供應鏈攻擊對你是否可用，提供精準打擊精準掃描的能力，幫助用戶極大地減少修復“假陽性”漏洞的行為，從而節(jié)省開發(fā)者修復漏洞的成本，核心就是為開發(fā)者運維服務，把他們的工作量專注于他們的業(yè)務上，而不是修復一些“假陽性”的漏洞上。

不斷加大對中國市場的投入

董任遠介紹說，在和中國合作的時候，我們發(fā)現(xiàn)中國市場非常特殊。這里有不停地突飛猛進的本地的技術(shù)，有中國的芯片、有中國的操作系統(tǒng)、有中國各種各樣的軟件。JFrog作為倉庫來說要跟供應鏈上的各個環(huán)節(jié)都要進行打通、進行連接，所以對于中國技術(shù)的支持是尤為關(guān)鍵的。我們秉持著“In China, For China”，加大了研發(fā)，加大了技術(shù)團隊，希望能夠幫助中國的客戶建設一種有中國特色的軟件制品管理的模式。從商業(yè)上來說中國客戶看重私有化部署，都是把我們的軟件放在他們的私有云或他們自己的數(shù)據(jù)中心里。從全球的趨勢來說，JFrog的產(chǎn)品通常是部署在云上，客戶無論在哪兒都可以ISS他們自己的制品倉庫。隨著中國很多企業(yè)要走出去，未來我們可以幫助很多中國客戶能夠進行全球的戰(zhàn)略部署。無論是有在非洲的研發(fā)、歐洲的研發(fā)、美洲的研發(fā)都能夠通過統(tǒng)一制品庫把它們連接起來，這是我們判斷未來商業(yè)方面的一個趨勢。

JFrog大中華區(qū)總經(jīng)理董任遠

我們在中國的業(yè)務是一個平臺，即JFrog的平臺，其中有七個核心產(chǎn)品。董任遠認為，大家最關(guān)心的有兩個核心產(chǎn)品，一是制品庫，二是XRAY新的功能，今年又新加了一些產(chǎn)品，豐富了產(chǎn)品線。同時，我們在中國大陸有300家客戶，算上港臺有將近500家客戶；合作伙伴超過30家，涉及北、上、廣、深、港、臺。

JFrog中國業(yè)務2023年增長非?？?，比2022年超過了一倍。我們在中國發(fā)展勢頭非常好，同樣做了很多產(chǎn)品與渠道的調(diào)整，相信2024年會保持一個高速的增長，這是因為客戶對數(shù)字化轉(zhuǎn)型的需求大大增加，同時客戶也都意識到公司的軟件資產(chǎn)是核心資產(chǎn)，他們需要一個制品庫來幫助管理、運維他們自己的核心資產(chǎn)。

董任遠告訴記者，JFrog在全球的銷售策略一直是以直銷為主，即直接面對用戶。但是，由于快速發(fā)展，未來要想繼續(xù)從頭部客戶往中下線中小客戶來做遷移的話，肯定需要更多的合作伙伴來支持我們。在今年渠道大會上也頒布了新的渠道政策，希望更多的渠道伙伴能夠加入到我們的業(yè)務當中。在中國，從2022年初開始就做了一項調(diào)整，由原來單一的渠道合作伙伴變成了多地域、多伙伴的模式。我們在中國的北京、上海、廣州、深圳、香港、臺灣地區(qū)都有本地合作伙伴，由原來一家合作伙伴變成了多家。同樣在全球來說，我們希望能夠把中國的這種經(jīng)驗拷貝到全球，讓更多的合作伙伴參與到我們的業(yè)務當中。JFrog希望能夠和所有合作伙伴協(xié)作共贏，所以對合作伙伴沒有任何的區(qū)分，只要愿意投入、愿意合作，我們都歡迎。同時，不用擔心技術(shù)資源，不用擔心客戶要求，比如要做一些POC、測試，這方面的能力會由JFrog提供。我們希望在培訓客戶的時候也能夠把合作伙伴培養(yǎng)起來，將來能夠自己獨立的完成跟客戶的交流以及測試。未來，我們也給代理商合作伙伴進行了很好的規(guī)劃。

董任遠表示，JFrog對于中國市場要加大投入，中國市場是全球最大的開發(fā)者社區(qū)，也有我們有最大規(guī)模的開發(fā)團隊。2022年JFrog正式進入中國以來，我們不停地在加大投入本地的技術(shù)支持、本地的研發(fā)、本地的售前。在技術(shù)上的投入同時，在合作伙伴和銷售上也增大了團隊。JFrog去年一年在中國主要完成商業(yè)模式轉(zhuǎn)化的過程，從單一的代理商模式到多個合作伙伴支持，同時，在技術(shù)方面是加大了投入，加大了本地的研發(fā)以及跟合作伙伴共同創(chuàng)新的能力。過去一年還完成了很多跟中國軟件、硬件的交互式的認證，我們也都拿到了中國的各種證書，以滿足中國市場的需求。因此，一是合作伙伴上我們有突破，二是在技術(shù)上也有突破，這些都是一個里程碑式的進展。董任遠強調(diào)，在中國我們是無差別的對待所有的合作伙伴，只要是合作伙伴帶來對于JFrog技術(shù)感興趣的客戶，我們就會幫助客戶進行規(guī)劃，同時在給客戶進行培訓POC測試的同時，也給代理商合作伙伴以技術(shù)能力的支持。明年也會跟合作伙伴看看怎樣進一步提高他們的技術(shù)能力，能夠做一些增值的技術(shù)支持。同時，也能夠讓他們有這種本身能夠做一些培訓的工作，幫助JFrog去照顧好我們共同的客戶。所以，我們希望建立的是一種雙贏的解決方案。

JFrog在中國的業(yè)務是蓬勃向上的，相比去年、前年都有一個突飛猛進的提高。董任遠介紹說，使用JFrog的軟件能夠大規(guī)模的節(jié)省客戶運維成本以及交付能力，滿足了現(xiàn)在客戶對于怎樣能夠用耿紹的資源提高效率的需求。同時，在中國我們有最大的開發(fā)社區(qū)，有最龐大的技術(shù)人員，軟件工程師。同樣，中國的技術(shù)在不停地上升，這對JFrog都是需求，我們肯定也會繼續(xù)加大投入。對未來一年我是非常樂觀的，我們完成了所有最基本的工作，未來可能會面臨的是一個非常高的增長，怎樣維持這種高的增長，這是我們要面對的問題。