风君子博客近期,流式软件公司、企业软件供应链平台提供商JFrog在美国举行了一年一度的swampUP,大会主要面向开发运维领域的从业者设置。
JFrog在本届swampUP 2024上分享了JFrog Runtime等网络安全领域、运维领域的最新创新成果及新的技术解决方案。同时针对当下市场关于AI、大模型的重要领域,JFrog公布了新的技术以及与NVIDIA、GitHub等重要合作伙伴的协作成果。
截至目前,针对软件供应链管理,JFrog提供了一整套解决方案,包括普通制品、开发者制品、安全扫描、版本分发、LT设备以及大模型持续部署持续编排的能力。
JFrog大中华区和日本地区总经理董任远在面对国内媒体时表示,2024年JFrog在中国业务实现了持续增长。中国企业在加速企业出海,有的企业不仅在中国本地有数据中心,在其海外的目标市场也会建立数据中心。每建立一个数据中心,企业需要在数据中心实现相应的部署,存储当地客户的信息,同时保证和总部进行交流。正是基于这一点,很多客户今年购买JFrog的技术与解决方案都是部署在其海外的数据中心。
董任远预期,JFrog业务2025年在中国市场还会保持高速的增长,尤其是在制造业。“在汽车领域,我们看到有无限的潜能与机遇。随着中国企业‘ 走出去’,对于JFrog产品的需求也会越来越大。”
同时,董任远强调,软件是要跟上下游打通的,软件生态环境非常重要。在JFrog看来,中国市场生态环是比较独特,很多中国客户都希望JFrog的产品能够部署在信创环境,就是国产服务器、国产CPU、国产数据库以及国产操作系统环境下。JFrog在二三年前就已经开始做相应的布局,跟所有的国产芯片、软硬件都做了互操作认证。这个布局也是为JFrog在中国市场继续发展提供很好的工具,适用中国市场的科技环境。
另外,这次swampUP 2024上JFrog还发布了这些新服务,一起看看。
加强软件供应链安全管理
JFrog中国技术总监王青介绍,业界中基于软件供应链的攻击呈现100倍的增长。从整个软件供应链流程中可以看到,在软件包创建、打包、分发、部署的时候,都会有各种各样的网络攻击行为。
基于这样严峻的现状,今年9月JFrog发布了全新的产品,也是首个运行时安全解决方案——JFrog Runtime,这项解决方案使企业能够将安全性无缝集成到开发流程的每一个环节——贯穿源代码编写,二进制文件部署和生产。
王青介绍,JFrog Runtime可以从两个方面发现潜在的安全隐患:
一是,运行时的镜像完整性。有些攻击行为是通过恶意的镜像导入,把恶意的镜像或者漏洞包的镜像上传到生产环境,绕过Artifactory,从而实现攻击。该功能可以检测对应的镜像是不是从Artifactory进行拉取,如果不是,系统会即刻进行提示。
二是,运行时的影响。JFrog在运行领域聚合了Xray基本能力以及Advanced Security高级扫描能力,即可实现选取某一个Pod的时候,可以发现它有多少个漏洞,镜像里包含了什么样的级别的漏洞风险,使安全团队立即进行修复。同时,即使在实际运行Pod之中也有漏洞风险已经在环境里运行时,如果有高危漏洞,系统可以提示安全团队立刻采取行动,来避免应用暴露在高危风险当中。JFrog同步也提供了恶意包的扫描,检测K8s集群,避免恶意包带来的攻击隐患。
“目前业界所有的安全产品当中,只有JFrog能提供镜像一致性检测”王青强调道,目前市面上的安全工具只负责安全,没有镜像介质的管理,JFrog独特之处在于它融合了镜像介质统一管理,以及安全扫描的功能,所以JFrog能提供镜像一致性的校验,这样的校验就保证在Kubernetes运行环境中,Pod拉取的镜像和在Artifactory里存取的镜像是一致的。保障了开发人员在开发过程中的镜像和生产用的镜像保持一致的,避免了额外的沟通成本或者版本错误带来的问题。
和NVIDIA集成
NVIDIA是全球加速计算的领导者,它的GPU对很多致力于开发大模型的团队而言是必不可少的硬件,它的强大之处在于实现大模型推理所需要的并行计算。传统NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型,把它部署到NVIDIA训练集群里面去。
JFrog提供的功能是帮助用户实现本地可以搭建Artifactory,通过代理NGC的NVIDIA模型中心,能够把模型缓存在企业内部,在本地K8s集群拉取镜像和拉取模型的时候,都可以从Artifactory进行拉取。
王青表示,这样的话,首先,能够提升镜像和模型的拉取速度;其次,能够帮助企业在本地实现模型化的管理。同时JFrog Xray能够对大模型进行恶意模型的扫描,帮助企业规避被模型仓库里恶意模型攻击的隐患。
和GitHub集成
王青介绍,GitHub的优点是在于源码管理,弱点在制品管理。目前,JFrog和GitHub合作了一个深度集成,为开发者提供能够呈现项目状态和安全态势的综合视图,帮助他们快速解决公司高级安全产品发现的潜在漏洞。
如果企业用户用到了GitHub作为源码管理平台和构建平台,当在GitHub做Artifactory构建的时候,页面上能够直观地看到JFrog的链接。开发者不需要再跳转到JFrog检查漏洞信息,在GitHub就能完全看见了,非常方便。
同时,JFrog和GitHub还合作推出 Copilot Chat扩展插件,全新 GitHub Copilot 扩展插件通过在 JFrog 二进制环境中提供有关开源软件包的深入洞察以及 GitHub 代码数据。开发者无需搜索文档或在线论坛,能够基于安全性和市场应用情况选择软件包,减少了大量开发过程和安全监测流程当中的沟通成本。
此外,还有双向端到端发布追溯功能。GitHub 上的全新作业摘要页面为开发者提供了每个 GitHub Actions 工作流运行和安全状态的快速视图,使开发者可以查看每个构建的输出软件包,轻松跳转至JFrog Artifactory 中的位置并返回原页面。这种双向导航利用 JFrog Artifactory 中保存的软件物料清单(SBOM),增强了软件追溯能力,实现了端到端的,从源码到制品分发再到安全整体的解决方案。(果青)