近期，流式軟件公司、企業(yè)軟件供應鏈平臺提供商JFrog在美國舉行了一年一度的swampUP，大會主要面向開發(fā)運維領域的從業(yè)者設置。

JFrog在本屆swampUP 2024上分享了JFrog Runtime等網絡安全領域、運維領域的最新創(chuàng)新成果及新的技術解決方案。同時針對當下市場關于AI、大模型的重要領域，JFrog公布了新的技術以及與NVIDIA、GitHub等重要合作伙伴的協(xié)作成果。

截至目前，針對軟件供應鏈管理，JFrog提供了一整套解決方案，包括普通制品、開發(fā)者制品、安全掃描、版本分發(fā)、LT設備以及大模型持續(xù)部署持續(xù)編排的能力。

JFrog大中華區(qū)和日本地區(qū)總經理董任遠在面對國內媒體時表示，2024年JFrog在中國業(yè)務實現了持續(xù)增長。中國企業(yè)在加速企業(yè)出海，有的企業(yè)不僅在中國本地有數據中心，在其海外的目標市場也會建立數據中心。每建立一個數據中心，企業(yè)需要在數據中心實現相應的部署，存儲當地客戶的信息，同時保證和總部進行交流。正是基于這一點，很多客戶今年購買JFrog的技術與解決方案都是部署在其海外的數據中心。

董任遠預期，JFrog業(yè)務2025年在中國市場還會保持高速的增長，尤其是在制造業(yè)。“在汽車領域，我們看到有無限的潛能與機遇。隨著中國企業(yè)‘ 走出去’，對于JFrog產品的需求也會越來越大?！?/p>

同時，董任遠強調，軟件是要跟上下游打通的，軟件生態(tài)環(huán)境非常重要。在JFrog看來，中國市場生態(tài)環(huán)是比較獨特，很多中國客戶都希望JFrog的產品能夠部署在信創(chuàng)環(huán)境，就是國產服務器、國產CPU、國產數據庫以及國產操作系統(tǒng)環(huán)境下。JFrog在二三年前就已經開始做相應的布局，跟所有的國產芯片、軟硬件都做了互操作認證。這個布局也是為JFrog在中國市場繼續(xù)發(fā)展提供很好的工具，適用中國市場的科技環(huán)境。

另外，這次swampUP 2024上JFrog還發(fā)布了這些新服務，一起看看。

加強軟件供應鏈安全管理

JFrog中國技術總監(jiān)王青介紹，業(yè)界中基于軟件供應鏈的攻擊呈現100倍的增長。從整個軟件供應鏈流程中可以看到，在軟件包創(chuàng)建、打包、分發(fā)、部署的時候，都會有各種各樣的網絡攻擊行為。

基于這樣嚴峻的現狀，今年9月JFrog發(fā)布了全新的產品，也是首個運行時安全解決方案——JFrog Runtime，這項解決方案使企業(yè)能夠將安全性無縫集成到開發(fā)流程的每一個環(huán)節(jié)——貫穿源代碼編寫，二進制文件部署和生產。

王青介紹，JFrog Runtime可以從兩個方面發(fā)現潛在的安全隱患：

一是，運行時的鏡像完整性。有些攻擊行為是通過惡意的鏡像導入，把惡意的鏡像或者漏洞包的鏡像上傳到生產環(huán)境，繞過Artifactory，從而實現攻擊。該功能可以檢測對應的鏡像是不是從Artifactory進行拉取，如果不是，系統(tǒng)會即刻進行提示。

二是，運行時的影響。JFrog在運行領域聚合了Xray基本能力以及Advanced Security高級掃描能力，即可實現選取某一個Pod的時候，可以發(fā)現它有多少個漏洞，鏡像里包含了什么樣的級別的漏洞風險，使安全團隊立即進行修復。同時，即使在實際運行Pod之中也有漏洞風險已經在環(huán)境里運行時，如果有高危漏洞，系統(tǒng)可以提示安全團隊立刻采取行動，來避免應用暴露在高危風險當中。JFrog同步也提供了惡意包的掃描，檢測K8s集群，避免惡意包帶來的攻擊隱患。

“目前業(yè)界所有的安全產品當中，只有JFrog能提供鏡像一致性檢測”王青強調道，目前市面上的安全工具只負責安全，沒有鏡像介質的管理，JFrog獨特之處在于它融合了鏡像介質統(tǒng)一管理，以及安全掃描的功能，所以JFrog能提供鏡像一致性的校驗，這樣的校驗就保證在Kubernetes運行環(huán)境中，Pod拉取的鏡像和在Artifactory里存取的鏡像是一致的。保障了開發(fā)人員在開發(fā)過程中的鏡像和生產用的鏡像保持一致的，避免了額外的溝通成本或者版本錯誤帶來的問題。

和NVIDIA集成

NVIDIA是全球加速計算的領導者，它的GPU對很多致力于開發(fā)大模型的團隊而言是必不可少的硬件，它的強大之處在于實現大模型推理所需要的并行計算。傳統(tǒng)NVIDIA的模型發(fā)布需要從NVIDIA模型中心區(qū)拉取模型，把它部署到NVIDIA訓練集群里面去。

JFrog提供的功能是幫助用戶實現本地可以搭建Artifactory，通過代理NGC的NVIDIA模型中心，能夠把模型緩存在企業(yè)內部，在本地K8s集群拉取鏡像和拉取模型的時候，都可以從Artifactory進行拉取。

王青表示，這樣的話，首先，能夠提升鏡像和模型的拉取速度；其次，能夠幫助企業(yè)在本地實現模型化的管理。同時JFrog Xray能夠對大模型進行惡意模型的掃描，幫助企業(yè)規(guī)避被模型倉庫里惡意模型攻擊的隱患。

和GitHub集成

王青介紹，GitHub的優(yōu)點是在于源碼管理，弱點在制品管理。目前，JFrog和GitHub合作了一個深度集成，為開發(fā)者提供能夠呈現項目狀態(tài)和安全態(tài)勢的綜合視圖，幫助他們快速解決公司高級安全產品發(fā)現的潛在漏洞。

如果企業(yè)用戶用到了GitHub作為源碼管理平臺和構建平臺，當在GitHub做Artifactory構建的時候，頁面上能夠直觀地看到JFrog的鏈接。開發(fā)者不需要再跳轉到JFrog檢查漏洞信息，在GitHub就能完全看見了，非常方便。

同時，JFrog和GitHub還合作推出 Copilot Chat擴展插件，全新 GitHub Copilot 擴展插件通過在 JFrog 二進制環(huán)境中提供有關開源軟件包的深入洞察以及 GitHub 代碼數據。開發(fā)者無需搜索文檔或在線論壇，能夠基于安全性和市場應用情況選擇軟件包，減少了大量開發(fā)過程和安全監(jiān)測流程當中的溝通成本。

此外，還有雙向端到端發(fā)布追溯功能。GitHub 上的全新作業(yè)摘要頁面為開發(fā)者提供了每個 GitHub Actions 工作流運行和安全狀態(tài)的快速視圖，使開發(fā)者可以查看每個構建的輸出軟件包，輕松跳轉至JFrog Artifactory 中的位置并返回原頁面。這種雙向導航利用 JFrog Artifactory 中保存的軟件物料清單（SBOM），增強了軟件追溯能力，實現了端到端的，從源碼到制品分發(fā)再到安全整體的解決方案。（果青）

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。