两年前,知名的开源项目Apache Log4j被曝存在严重安全漏洞,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,远程执行任意代码来控制目标机器。不可思议的是,漏洞被公开后的第一天,就发生了近万次利用该漏洞发起的攻击行为。
这件事给曾经身为软件工程师,在科技行业拥有超过20年工作经验的Aran Azarzar带来的重要启发之一就是,必须更进一步去控制和理解构建软件过程中的一些关键要素,这些要素是软件部署过程中很重要的一部分,甚至有些时候比自己写的代码更为重要。
“作为安全行业的领导者,JFrog必须在客户没有收到明确通知的情况下,帮助他们进一步实现升级,并且为这些库的漏洞带来安全的缓解措施。”面对全球范围内超过7000家以上的客户(其中89%为财富100强)需求,七个月前刚刚加入JFrog、担任公司首席信息官的Aran Azarzar深感压力巨大。
JFrog:以单一的平台支撑单一来源的信息
今年8月,JFrog联合Forrester发布了一份针对金融科技、健康保险和半导体行业的领先企业中的四家所做的最新调研的总体经济影响(Total Economic Impact)研究报告显示,平台整合被认为是2023年的重要议题之一;CIO们相信,三年后,大部分市场将整合自动化类别所使用的供应商数量,鉴此,他们正致力于与更少的供应商进行整合。
Aran Azarzar认为,CIO日常工作中面临的一大痛点就是如何能够寻找到一个有效的平台级的解决方案,能够帮助企业实现有效的整合。即使在JFrog内部,部门本身也在寻求相关的价值点,希望能够将不同解决方案整合到一个平台中。
JFrog刚好能够实现这一点,并且为客户带来价值。
据了解,JFrog在全方位的网络中构建起了技术和合作伙伴之间的合作,已经可以满足包括本地、混合云在内所有云的需求。它既可以在云上部署,同时也可以得到各种不同跨云供应商的支持。
这意味着JFrog不再是传统的解决方案,而是演化成为了一个平台。
在当今流式软件时代,JFrog平台不仅解决了更新和部署CI/CD(持续集成和交付部署)问题,也统一了开发和运营,提升了安全性,通过在JFrog平台上管理AI和ML模型,还可为未来业务的开展做好准备。
基于JFrog平台,客户可以更好地控制软件供应链,从开发者的维度直到后期运维对使用了JFrog应用程序设备的分发都能做到全链条的管理。一旦成为JFrog平台的客户,JFrog平台就会成为它们主要的部署和开发的核心。
JFrog不仅帮助实现多个解决方案的有效整合,还可以协助企业进一步做好供应商管理,从管理过程中获得更大的价值。
强力管好企业数据资产
Aran Azarzar表示,软件包甚至开源的软件包在管理过程中需要得到更高水平的理解和控制,帮助追溯并快速的为软件供应链配备完整的功能合规性的监控和安全性,并且帮助开发者进一步加速,在当前二进制库当中实现最新的更新。
在多数客户看来,75%的代码都是可以重复使用的,所以他们通常只考虑25%由开发人员所生成的代码,由此形成传统意义上的盲区,即大家主要的业务都是关注源代码,往往忽视了二进制制品方面的提升。
事实上,对于很多的组织和机构来说,二进制制品越来越成为他们的首要资产。
任何开发人员编写的代码,很可能一直就停滞在初级阶段。如果是做本地化存储,需要经常对二进制制品和库进行更新,更新的过程既会浪费时间,而且很可能出现错误,产生漏洞,进一步影响到安全等级。
基于JFrog平台,客户不再需要传统本地储存二进制制品和源代码,在JFrog平台上就可以进行单一存储库来完成开发的过程,方便共享、获取和以流水线的形式分发到不同的设备端,分发过程中可以为软件供应链提供更加整体的视图和可分析的数据,形成完整的端对端的平台,提供包括从开发端到最终使用端全生命周期的支持。
确保软件开发、运维与安全性合二为一
安全只是IT部门业务的核心项目之一。
时至今日,用户对信息系统的安全性要求越来越高,超过以往任何时候。传统负责IT布局、产品生命周期的管理和开发运维内容和模式已经成为过去时,开发团队也要承担产品安全性的职责。
在和软件开发运维合二为一的过程中,安全仍然是CIO工作过程中的重中之重,软件部署、软件供应链和整个开发过程中人员的重要性也是不言而喻的。
Log4J事件发生后,CIO们更加清楚地了解到需要进一步优化,以便为未来时刻做好准备。这些挑战来自于以下方面:更加安全、大规模地加速软件交付,实现端到端的安全,防止漏洞和零日攻击等。做好了这些基础工作,就可以为企业所有软件资产提供单一事实和信任来源,并以灵活、开放的部署选项,满足企业当前和未来的业务需求。
JFrog平台帮助去满足传统对于安全的需求,进一步改善安全态势,提升开发运维生产力。在这个过程中能够实现解决方案更强的可扩展性,同时满足开源的要求,而且使用的都是同一中央库或存储库。
来自典型行业用户的肯定
采用JFrog平台的优势已经在客户身上得到验证。
总体经济影响(Total Economic Impact)研究报告显示,使用JFrog软件供应链平台的企业客户平均每年节省1350万美元,三年内实现393%的投资回报率,并且在不到六个月的时间内有望实现约2000万美元的投资回报;最重要的是,IT团队由此也会变得更加专业。
被调查的企业代表对JFrog也给予了高度好评。“JFrog为我们的软件供应链编织了一张安全网”,某健康保险公司开发运维与企业工程赋能总监认为,软件供应链作为一个概念在不断发展,JFrog为其源代码提供了很高的弹性,而这是其他供应商无法提供的:另一家金融服务公司的开发与运营副总裁、工程经理表示,帮助维护制品库版本,而无需过分担忧漏洞和补救问题,这就是JFrog所带来的服务。在其所见过的产品中,鲜有能达到这种水平。
谈到发布该研究报告的初衷,Aran Azarzar表示,软件已经成为日常生活当中非常重要的基础设施,所以对于软件供应链管理和保护也是非常复杂的挑战,而且攻击方式都在发生演变。JFrog可帮助开发者管理的软件供应链发现新的攻击目标,规避安全风险和隐患,提升了开发速度并足够保证其安全性、合规性、跨团队的协作性以及可见性。
“通过JFrog的平台提供单一事实和信任来源的中央库,可进一步帮助任何使用客户提升其组织性,协助其不断拓展其业务,以及在管理软件中的软件包和库、软件流程和软件供应链时创建可见性并降低巨大风险。”Aran Azarzar总结说。
在他提供的一份长长的客户名单中,充满了各行业全球顶级企业,但还没有看见来自中国的企业。这也许是JFrog发力这个保持稳定增长的全球最大经济体之一的原因吧。