随着软件开发变得越来越复杂,IT和软件负责人必须掌据最新趋势。市场上丰富的工具带来了很多的帮助,但它们往往依赖于间接数据,无法全面洞悉软件的研发生产过程。
通过关注新兴的内存安全编程、兴起的边缘设计、容器的广泛应用等趋势,JFrog揭示了当今企业开发人员在从设计到生产的软件开发过程中最合适、最常用的软件包和二进制文件有哪些优势、应该如何选择。
软件资产的增加与日益突出的安全、管理矛盾
在数字化转型的今天,数据量的骤增以及软件资产逐渐增加。根据IDC的分析报告,到2024年时,全球将会有5.2亿个软件应用,超过60%的企业每天都会发布一个新的的版本,而且越来越多的软件都会发布到与跟人们工作生活息息相关的边缘节点如手机或者个人设备上,大量的Docker以及容器等相关的技术的介入也成为一个新的趋势。
软件资产的快速增长,使得其在开发过程中的安全、管理、分发成为企业越来越严峻的挑战。很难设想,当一款带有漏洞的APP被推送到千万计最终用户的手机上以后,会出现什么样的后果。
JFrog捷蛙(中国)总经理董任远告诉笔者,即将披露的、JFrog编撰的“2023年JFrog软件制品状态报告”提供了答案:JFrog平台。
“JFrog平台是面向企业开发者、运维人员、安全专员的企业通用二进制管理仓库,它支持市面上主流的30多种不同技术栈软件仓库以及二进制包的管理,并且可以轻松的和各种CI/CD工具集成,在完整的软件生命周期里管理二进制的构建信息,实现安全监控和开源许可监控。”董任远说。
作为一个单一可信源的平台,JFrog确保了软件交付的一致性和可靠性。JFrog Artifactory存储了所有的软件包、容器镜像以及配置文件,所有这些都被纳入统一管理,根据需要进行发布。同时,因为由可信源发布,实现了每一个环节的追踪可控。
JFrog平台构架展示了软件制品在研发与交付流程中的安全性是如何实现的。
软件在构建完成后存储在制品仓库JFrog Artifactory中,对这些软件或二进制包通过JFrog的Xray和JFrog Advanced Security功能进行安全检测、漏洞审查,确认安全无虞之后再经由JFrog Distribution分发到各地的数据中心以及多种云环境,最后采用JFrog Connect技术直接发布到物联网终端。
整个过程由JFrog Mission Control这个可视化的平台实现对动态、工作负载和性能表现的监控。
凭借跨环境多语言的能力,JFrog在本地部署可以有多集群、跨区域、跨地域,与AWS、微软Azure、Google一起合作,提供各种私有云与公有云的解决方案。
JFrog平台:创造五大主要价值
作为唯一可信源制品库,JFrog创造的价值主要体现在五个方面。
一是全语言/统一维护。JFrog支持30多种不同技术栈软件仓库,同时支持Docker镜像,提供配置文件管理,可减少维护成本180人天。
二是高可用/零宕机。很多企业管理软件资产是关键性业务,绝对不能出现宕机行为。JFrog支持本地的多活双活以及集群管理,以及两地三中心不同的地域之间互为热备份。因为这个优势,JFrog受到了大量工程师、运维人员的青睐。
三是元数据/质量度量。JFrog在制品仓库中存储了DevOps的元数据,支持DevOps全流程管理,通过与企业交付流程不同工具链的集成,收集软件生命周期中很多的信息,对原本不透明的二进制制品软件包是否完成测试、安全检查是否过关等环节的状态以元数据形式进行记录、分析和处理,确保软件质量与安全的可靠可信,且所有软件包在仓库中都可以溯源。
四是实时同步与快速发布。软件构建完成以后需要分发到各个中心边缘节点,这个工作量巨大。JFrog提供支持P2P下载的能力,面对上万并发下载场景可同时做到基于checksum去重——仅传输新增部分内容——从而节省大量的带宽跟流量,缩短了传输时间。
五是开源合规检测。众所周知,当前开发软件大多引用开源组件,这将面临一系列的漏洞或者恶意代码,而通过扫描,既可以发现潜在的安全风险,同时也可探测内部是否存在不合规开源的许可,避免触及法规相关问题。
总体而言,JFrog支持主流通用所有的技术栈,既有单机版,也可以应用于复杂的集群,支持无限扩展、使用场景和环境,可以自如应对复杂开发场景以及上万的开发团队的规模;多环境同步,涉及到混合云、多云的部署,使得JFrog真正实现了端到端的管理。
令人称道的安全产品两道“防火墙”
这里提到的两道“防火墙”,是指JFrog在软件安全扫描方面的两个产品:JFrog Xray和JFrog Advanced Security 。
很早以前,JFrog就意识到软件安全的重要性。
JFrog Xray支持在软件开发过程中就进行相关的扫描,提前阻断风险、支持开源治理,实现安全左移;JFrog Advanced Security则进一步拓展了安全扫描领域,对漏洞进行上下文风险检测、风险分析,管控恶意代码,及时的企业发布提示。
JFrog Xray和JFrog Advanced Security相关的发布已经取得了很大的成效。
借助于刚刚收购的、一家名为Vdoo的专业庞大的数据安全团队的强劲支持,JFrog已经向社区等组织发布了720个以上的漏洞报告、1300个恶意软件包报告、500个0day漏洞报告,同时还发布了16款开源软件的安全工具,帮助社区对用户开源软件供应链风险进行扫描和防护。
披露漏洞一方面可以帮助软件开发者以及用户了解相关的安全与威胁,避免和减少相关的安全风险,另一方面可以促进社区的共同讨论以及解决对策,提高软件的安全、可信度以及可靠性的整体水平。
“传统的安全扫描软件只能提供第三方的软件风险是否被引入到自研产品中,Advanced Security则判断被引入后到底产生了多大的风险,通过上下文的分析,监测软件的风险类是否被调用,进而对潜在的安全风险实现进一步管控;而对源代码进行扫描的功能,可以发现恶意代码以及配置管理中暴露的安全问题。”在董任远看来,JFrog Xray和JFrog Advanced Security两大产品创新的安全理念具有跨时代意义。
“时代造就了JFrog的大好前景。”
JFrog成立于2008年,2020年在纳斯达克上市,现有员工1300多名,是一家“以创造从开发人员到设备之间畅通无阻的软件交付世界”为使命的流式软件科技公司,为各行业企业提供软件资产管理解决方案,以应对数字化转型的强劲需求。
JFrog提供了从开发、测试到分发以及到客户手机端或者应用端全过程的软件制品仓库管理。全球排名前十的科技公司与金融公司、财富100强中的89%是JFrog软件的用户。
在过去12个月,JFrog拥有付费客户续约存留率为128%;2022财年,JFrog拥有付费客户7200多家,营收同比增长35%。
JFrog非常重视中国市场。2016年,JFrog通过授权代理商形式开展中国市场经营,2021年正式进入中国。目前在中国服务的客户将近400个客户。金融行业中有80%的国有银行和股份制银行,大型互联网公司,以及传统汽车厂商与新能源厂商,均在使用JFrog管理企业软件资产。
JFrog尊重中国客户在功能上的需求、支持中国软件的信创工作,目前与中国本土操作系统供应商、本土芯片厂商以及本土数据库厂商都进行了互认证;正在考虑加大在中国的研发能力,同时也在推动新一轮的合作伙伴联盟的开拓,联手将优秀的解决方案介绍给中国客户,满足客户更多的需求。
“时代造就了JFrog的大好前景。”董任远表示。
“愿Frog与您同在”。 谈到公司名称的来源,董任远介绍说,灵感来自于青蛙(Frog)保持往前跳跃式发展的状态。创始人期待JFrog公司也能与合作伙伴和客户一起持续前进,决不后退。