全新解决方案与合作伙伴计划 JFrog让软件交付“畅通无阻” 原创

传统的开发软件到交付中间会有很多的流程，比如开发、测试、运维、数据中心、设备。通常每一个环节可能都要有不同的工作流程，怎样让所有的工作流程顺畅？

JFrog打造流式软件，并在这基础上加载新的安全功能，使得软件开发人员第一时间检查到软件有哪些漏洞和不安全的因素，为软件发布的质量、安全性、MLOps和完整性设定标准。

JFrog大中华区总经理董任远告诉记者，进行数字化转型的企业从硬资产向软资产进行迁移，从创建到生产，JFrog平台在软件开发生命周期的每个阶段都注入二进制级别的安全性，以确保应用程序的可追溯性、可靠性、合规性和安全性。

DevSecOps流程的自动化

JFrog提供全语言制品库，支持各种各样的语言开发包，是全球第一个支持所有开发语言的软件制品库管理平台。目前JFrog能够集成将近三十种左右最先进的开发语言。

面对各种各样的制品管理安全挑战，很多企业都缺乏统一管理制品的平台和统一进行扫描的能力，JFrog Artifactory和Distribution实现版本的内部管理和异地分发。而JFrog XRAY则实现高级安全扫描，确保安全性。

JFrog中国技术总监王青表示，从去年到今年开始，CIO们关注的问题是，在DevOps和安全合二为一如何融入起来，让DevOps团队与安全团队实现更好的协作，这是很多企业面临的挑战。

虽然企业购买了很多安全扫描工具，但安全人员发现这些安全扫描工具无法和DevOps流程结合起来，甚至安全工具的扫描阻止了DevOps流程的快速发布，这是一对矛盾体。

安全左移的表现形式是开发者可以随意下载第三方软件。JFrog软件供应链平台持续满足客户对全面的、以DevOps为中心的安全性和自动化的需求，从而推动真正的左移战略。这些功能包括：

AI和ML模型安全性：JFrog的全新ML模型管理功能可快速扫描和检测恶意机器学习模型，在需要之时阻止其使用，并确保许可证符合公司政策，从而更安全地使用AI。

静态应用程序安全测试（SAST）：与多种开发环境无缝集成，帮助客户快速准确地扫描源代码中的零日安全漏洞。JFrog SAST还可以通过上下文分析来减少误报，帮助确定问题的优先级并采取纠正措施。

近几年随着开源软件的使用不断增加，针对开源软件的攻击也开始激增，并且开发者在过往仓库里有可能泄露一些密钥信息，企业开发者们遇到了新的挑战。

开源软件（OSS）目录：作为JFrog Curation的一部分，该目录在JFrog UI中或通过API提供一个“软件包搜索引擎”，该搜索引擎由公共数据和JFrog数据提供支持，帮助用户能够立即了解与所有OSS软件包相关的安全和风险元数据。

JFrog XRAY的漏洞扫描能够第一时间在开发者的工具链中识别第三方是否存在高危漏洞，并在代码合并的时候主动进行安全扫描，保证安全交付更加顺畅。

“传统的安全扫描工具其实面对DevOps信息和安全信息的割裂，而在JFrog平台，制品的DevOps信息和安全信息是聚合的，形成一个整体，节省客户运维成本，提高交付能力。”王青说。

拥抱AI

日常的DevOps运维任务可以借助AI完成，越来越多用户使用AI和ML。然而，随着越来越多的ML模型投入生产，最终用户往往面临着成本、缺乏自动化、缺乏专业知识以及扩展能力等方面的挑战。

王青说，随着大语言模型的流行，一个新型攻击方式是通过机器学习模型进行投毒。黑客可以将恶意代码注入到大模型，调用本地的资源机程序。通过这种隐藏非常深的方式来实现基于大模型的投毒。这种攻击方式是防不胜防的，开发者非常难发现并且意识到他被攻击。

JFrog平台中的全新ML模型管理功能使AI交付与企业现有的DevOps和DevSecOps实践保持一致，从而加速、保护和管理ML组件的发布。

使用JFrog全新ML模型管理功能，企业能够：

代理常用的公共ML仓库Hugging Face，缓存公司所依赖的开源AI模型，使其更贴近开发和生产，防止删除或修改。

检测并阻止恶意ML模型的使用。

扫描ML模型许可证，确保其符合公司政策。

存储自行开发或内部增强型ML模型，并配置强大的访问控制和版本历史记录，以提高透明度。

将ML模型作为任何软件版本的一部分进行打包和分发。

从上述新功能我们看到JFrog提供了业界首款端到端的加速软件安全的构建发布平台，该功能称为Curation，自带开源软件目录CATALOG，同时支持了SAST，对现有XRAY漏洞扫描进行功能补全。也发布了首次面向Hugging Face的原生集成，通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。

“客户至上”的全球合作伙伴计划

除了产品功能创新，JFrog也在积极拓展合作伙伴生态。

JFrog渠道合作伙伴计划旨在增强合作伙伴的技术与业务能力，并将客户置于一切的核心。JFrog渠道合作伙伴计划注重协作，提供直接的激励措施和计划福利，旨在最大程度满足客户的需求偏好。

技术合作伙伴是JFrog提供客户价值战略的核心。JFrog的目标是为客户提供全面的软件供应链解决方案——从规划和编码到部署和监控。JFrog将与技术合作伙伴一起，为企业提供一流的 DevSecOps解决方案，以满足客户不断变化的增长和需求。

“JFrog制定的政策和传统的分销不太一样，传统的有分级、金牌、银牌、铜牌，每个级别要投入的资源可能不同，根据这些投入的资源来进行分级。JFrog希望能够和所有合作伙伴协作共赢，所以对合作伙伴没有任何的区分，只要愿意投入、愿意合作，我们都欢迎。”董任远说。

合作伙伴不用担心技术能力和客户要求，比如POC测试，JFrog会为合作伙伴设计策划详细且具体的培训计划和商务支持，帮助合作伙伴打造能够独立与客户交流和测试的能力。

而具体到中国市场，JFrog由原来单一的渠道合作伙伴变成了多地域、多伙伴的模式。并针对中国的市场环境，JFrog提供了DevOps平台，合作伙伴可以进行二次开发工作，和国产设备、国产软件、硬件进行相关的兼容性适配。

目前，JFrog在大中华地区发展势头好，拥有近400-500家客户，超过30家合作伙伴。而且JFrog还在加大投入中国市场的技术支持、研发、销售。

“展望2024年，JFrog将保持高速增长。客户对数字化转型的需求大大增加，同时客户也都意识到公司的软件资产是核心资产，所以，他们需要制品库管理、运维他们自己的核心资产。”董任远最后说。