对于开发与运营(DevOps)工作者而言,最大的痛点莫过于如何打通工具链。
JFrog将制品库作为DevOps环节中最核心部分有效化解这个难题,并以此赢得近8000家成功案例。在此基础上,JFrog的业务也超越制品管理范畴延伸至整个软件供应链。
JFrog是一家专注于软件开发和DevOps领域的公司,其以可存储和管理不同类型软件包、全球唯一的通用制品库产品JFrog Artifactory著名。JFrog还提供一系列工具和服务,帮助软件开发团队高效管理软件包,提高开发效率,确保安全性,并促进持续交付,成为现代软件开发中的重要工具。
其核心产品除了JFrog Artifactory,JFrog还有专门应用于开源软件隔离治理的JFrog Curation以及漏洞扫描JFrog Xray等,这些都是软件成分分析的重要工具。
前不久,JFrog面向开发运维领域的从业者在美国举行的swampUP 2024上展示了在网络安全以及运维领域的创新技术解决方案,并针对AI、大模型等重要领域公布了新的技术以及与重要合作伙伴的协作成果。
全新策略发布:JFrog EveryOps
swampUP 2024的一大亮点是JFrog EveryOps的发布。
作为一个全面的开发运维管理策略,JFrog的EveryOps概念旨在通过整合和优化各种DevOps实践来提升软件开发和部署的效率与安全性。它提供了一个统一、全面、安全且高效的开发运维管理平台,使开发团队能够更有效地管理从代码编写到软件部署的全过程,确保了软件供应链的安全性和可追溯性,保障了软件供应链的安全和合规性,并且大大提高了开发效率和开发工作的灵活性,是企业实现数字化转型的重要支撑。
核心产品系列更新升级
若论JFrog EveryOps统一平台上的核心产品,JFrog Artifactory当仁不让。但此次会议重点更强调了安全、分发、连接,分别对应Advanced Security与Runtime Security、JFrog Distribution与JFrog Connect;人工智能解决方案JFrog ML毫无疑义地“上榜”。
JFrog中国技术总监王青重点介绍了这些深得开发运维者们期待的解决方案详细内容:Advanced能够在用户Kubernetes集群中基于上下文快速找出假“阳性”漏洞并且提供修复建议、帮助快速修复,Security Runtime,运行时扫描;JFrog Distribution可帮助用户快速把软件从研发中心分发到云上或者数据中心;JFrog Connect解决方案针对物联网设备版本更新升级提供二进制包更新的整个流程;JFrog ML实现了对大模型的运维提供模型管理,涵盖了整个模型供应链编排包括模型的部署。
除此之外,还有一项新的功能是安全极其左移——Curation把漏洞包隔离在公司之外。
需要注意的是,这些功能已经或者将陆续集成到JFrog EveryOps统一平台上,为EveryOps赋予新的内涵。王青表示,整套解决方案不仅是普通的制品,还有安全扫描、版本分发、LT设备以及大模型持续部署持续编排的能力,使得JFrog的功能版图也得到了极大的增强。
以下仅以Security Runtime及JFrog ML做一简要介绍。
1.Security Runtime
在当下,基于软件供应链的攻击呈现了100倍的增长,在软件包创建、打包、分发、部署时都会有各种各样的网络攻击行为。首个运行时安全解决方案Security Runtime解决方案使企业能够将安全性无缝集成到开发流程的每一个环节——贯穿源代码编写,二进制文件部署和生产。
Security Runtime使用户能够追踪和管理不同来源的软件包,按环境类型组织存储库,并激活 JFrog Xray 策略,最终加强从代码到运行时的安全性。作为 JFrog 的一部分,Security Runtime还能够弥合团队之间在可见性和协调性方面和认知差异,优化版本控制和软件包开发,同时确保研发、DevOps 和安全团队能够高效协作,为开发人员节省宝贵时间。
Security Runtime从两个方面发现潜在的安全隐患:一是运行时的镜像完整性。该功能可以检测对应的镜像是否来自Artifactory,如果不是,系统会即刻提示,这是业界所有的安全产品中仅JFrog能提供的功能;二是运行时的影响,聚合了Xray基本能力以及Advanced Security高级扫描能力的Security Runtime可以同时发现镜像中的所有漏洞及其风险级别,提供安全团队立即进行针对性的修复。
2.JFrog ML
JFrog ML是一款全面的AI解决方案,它提供了从模型训练到部署再到监控的全套工具,支持从GenAI和LLMs到经典ML的各类模型,允许数据科学家、ML工程师和AI开发者轻松可靠地将AI和ML服务推向生产环境,通过将DevOps最佳实践应用于AI/ML,简化了整个流程,其Feature Store功能可以帮助用户管理训练和推理的每个特征,从任何源摄取和处理数据,并构建强大的特征工程管道。
JFrog ML还提供了对AWS和GCP的原生支持,允许用户在JFrog平台或自己的基础设施上部署,实现了云服务的无缝集成和生态自由度。
此外,JFrog还提供了与Hugging Face的原生集成,以及模型安全性和合规性功能等等。
合作伙伴关系不断加强
在合作伙伴方面,JFrog在swampUP 2024上也发布了亮眼的成就。
1.与NVIDIA的集成
与NVIDIA的集成是今年最大的亮点。
NVIDIA是全球加速计算的领导者,其GPU对很多致力于开发大模型的团队而言是必不可少的硬件,是实现大模型推理所需要的并行计算。传统NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型再部署到NVIDIA训练集群中。JFrog帮助用户本地搭建Artifactory,通过代理NGC的NVIDIA模型中心把模型缓存在企业内部,支持从本地Kubernetes集群拉取镜像和拉取模型,既提升了镜像和模型的拉取速度,同时也帮助企业在本地实现模型化的管理。
2.与GitHub的集成
GitHub是互联网上最大的代码管理仓库,虽然有着广大的用户群体,但却缺乏制品管理功能,导致制品存放位置、依赖关系、漏洞信息等信息缺失。针对这样的痛点,JFrog和GitHub深度集成合作,为开发者提供能够呈现项目状态和安全态势的综合视图,快速解决安全产品的潜在漏洞。如今,当企业用户在GitHub做Artifactory构建的时候,页面上能够直观地跳转到JFrog,直接观察到展示的各种相关信息。
(1)联合推出 Copilot Chat扩展插件。将Copilot 的聊天功能与 JFrog 的制品元数据相结合,为开发者打造了一个强大的 AI 助手,帮助开发者能够使用 Copilot 快速了解并确保这些信息的可信度,快速选择已更新、经企业批准且可安全使用的软件包。GitHub Copilot 扩展插件还通过在 JFrog 二进制环境中提供有关开源软件包的深入洞察以及 GitHub 代码数据。开发者无需搜索文档或在线论坛,能够基于安全性和市场应用情况选择软件包,减少了大量开发过程和安全监测流程中的沟通成本。
(2)动态项目映射和身份验证跨平台SSO。开发者在集成的时候,一个繁琐的步骤就是做认证,JFrog利用当前的OpenID Connect(OIDC)集成,改进了GitHub存储库和Artifactory中JFrog项目之间的自动授权和无缝项目映射,无需对每个存储库重新身份验证。
(3)GitHub Advanced Security和JFrog Advanced Security安全扫描结果的统一视图可帮助开发者在开发生命周期的早期阶段识别并消除潜在的软件漏洞,从而节省时间成本并降低风险。这是JFrog和GitHub集成给开发者带来的优势之一,JFrog提供从代码到创建生产环境统一的端到端安全性。
(4)Frogbot。对代码进行Commit、Merge和Pull Request的时候,会主动触发JFrog机器人进行扫描,保证每次代码合并请求都会实现一个安全的审核,避免安全的漏洞进入到代码库。该功能已经上线,GitHub的用户以及JFrog的用户可以立刻进行体验。
(5)双向端到端发布追溯。GitHub上的全新作业摘要页面为开发者提供了每个GitHub Actions工作流运行和安全状态的快速视图,开发者可以查看每个构建的输出软件包,轻松跳转至JFrog Artifactory中的位置并返回原页面。这种双向导航利用JFrog Artifactory中保存的软件物料清单(SBOM),增强了软件追溯能力,实现了端到端的、从源码到制品纷发再到安全整体的解决方案。
王青总结说,“JFrog简化了开发人员与安全团队之间的协作流程,实现了DevSecOps任务的自动化,为现代云原生应用开发节省了时间并进一步加强了安全性。它使团队能够实时监控Kubernetes集群,从而根据实际风险来识别、优先处理并快速解决安全隐患。此外,它还有助于确保镜像完整性并有效满足合规性要求。”
与中国市场共同发展
2024年,JFrog在中国的业务实现了持续增长。
究其原因,JFrog大中华区和日本地区总经理董任远表示,持续的数字化转型为JFrog营造了良好的成长环境,一个明显的表现是,国内企业客户对保障软件供应链安全的意识越来越明显,大都在开发第一时间对所用的第三方产品实现相应的检测,以尽早发现潜在隐患,解决问题。他注意到,越来越多的中国用户借助JFrog来取代或整合各种开源闭源、但运维中效用相对较低的零散工具,实现了统一的制品安全以及交付管理;而不断加速的出海进程,使得企业在海外建设数据中心的同时也要对JFrog进行相应的部署并满足各地合规需求,催生了JFrog的新的市场。
“生态环境非常重要。”董任远表示,中国市场生态环境比较独特,很多都希望JFrog的产品能够部署在信创环境。三年前,JFrog就开着手跟所有国产的芯片、软硬件互操作认证,如今,不少客户部署在其专有系统环境下的JFrog解决方案已经平稳运行了两年时间。
制造业特别是新能源汽车的快速发展甚至全球化布局,让董任远看到了无限的潜能与机遇。更多中国企业“走出去”,势必为JFrog的产品带来更大的需求。他相信,2025年JFrog在中国市场仍将保持高速的业务增长。
