DevOps+安全，非JFrog不可？

來源：互聯(lián)網(wǎng)   發(fā)布日期：2023-12-18 10:28:05   瀏覽：6783次  

為了加快新產(chǎn)品上市速度，同時保證軟件的質(zhì)量，開發(fā)人員已經(jīng)使出了渾身解數(shù)，忙得不可開交，但攻擊者卻不斷發(fā)起新的攻擊，擾亂正常的流程，甚至造成無法挽回的損失。軟件供應鏈安全應該如何保障？誰又該為安全的軟件開發(fā)、交付和迭代負責？

JFrog挺身而出。“JFrog能夠管理企業(yè)內(nèi)部所有的軟件包，所以JFrog是最適合來做軟件包管理工具的，同時還可以完成安全掃描。”JFrog大中華區(qū)總經(jīng)理董任遠表示，“JFrog的使命是創(chuàng)造從開發(fā)人員到設備之間暢通無阻的軟件交付世界。傳統(tǒng)的軟件開發(fā)到交付中間有很多的流程，比如開發(fā)、測試、運維、數(shù)據(jù)中心、設備等。而每一個環(huán)節(jié)也都有不同的工作流程。讓所有的工作流程順暢是我們努力的目標。我們做的是流式軟件，在此基礎(chǔ)上又加載了一些新的安全功能，可以使工作人員第一時間發(fā)現(xiàn)軟件的漏洞和不安全因素。”

JFrog大中華區(qū)總經(jīng)理董任遠

JFrog致力于打造面向DevOps和安全的通用軟件供應鏈平臺。

DevOps+安全 齊頭并進

調(diào)查顯示，從去年到今年，CIO們最關(guān)注的問題之一，是如何將DevOps與安全合二為一，真正融合起來。為此，很多企業(yè)購買了大量安全掃描工具。但是安全人員發(fā)現(xiàn)，這些安全掃描工具無法與DevOps流程相結(jié)合，甚至安全工具的掃描阻礙了DevOps流程的快速發(fā)布。這是一對矛盾體。

JFrog有沒有什么好辦法讓DevOps與安全從對立走向融合呢？近些年來，JFrog一直戰(zhàn)略性地進行大力投資，開發(fā)全面的、以DevOps為中心的安全解決方案，旨在應對未來的威脅。在二進制層面，JFrog創(chuàng)性性地實現(xiàn)了DevSecOps流程的自動化。經(jīng)過客戶實踐證明，這是保護軟件供應鏈的最有效方法。JFrog為客戶提供的保護范圍涵蓋開源和第一方代碼、機密檢測、IaC安全和OSS軟件包的創(chuàng)建，并且還引入AI和MLOps安全性、緩存和保護客戶的ML模型。

2023年12月，JFrog發(fā)布了創(chuàng)新的功能，為軟件發(fā)布的質(zhì)量、安全性、MLOps和完整性設定標準。“從創(chuàng)建到生產(chǎn)，JFrog平臺在軟件開發(fā)生命周期的每個階段都注入了二進制級別的安全性，以確保應用程序的可追溯性、可靠性、合規(guī)性和安全性。”JFrog中國技術(shù)總監(jiān)王青表示，“JFrog軟件供應鏈平臺的新功能將持續(xù)滿足客戶對全面的、以DevOps為中心的安全性和自動化的需求，從而推動真正的‘安全左移’戰(zhàn)略。”

JFrog推出的新功能主要包括以下幾方面：確保AI和ML模型安全性——JFrog的全新ML模型管理功能，可快速掃描和檢測惡意機器學習模型，在需要時阻止其使用，并確保許可證符合公司政策，從而更安全地使用AI；靜態(tài)應用程序安全測試（SAST）功能——可與多種開發(fā)環(huán)境無縫集成，幫助客戶快速準確地掃描源代碼中的零日安全漏洞，另外JFrog SAST還可以通過上下文分析來減少誤報，幫助確定問題的優(yōu)先級，并采取糾正措施；開源軟件（OSS）目錄——作為JFrog Curation的一部分，該目錄在JFrog UI中或通過API提供一個“軟件包搜索引擎”，該搜索引擎由公共數(shù)據(jù)和JFrog數(shù)據(jù)提供支持，能夠幫助用戶立即了解與所有OSS軟件包相關(guān)的安全和風險元數(shù)據(jù)。

“開發(fā)者是引入開源組件漏洞的最大群體�，F(xiàn)在的軟件工程開發(fā)會使用各種各樣的開源軟件。在使用過程中，開發(fā)者通常不會主動事先做安全掃描，而是在滿足了功能需求之后再來做掃描。就是因為這個時間差，一旦安全漏洞沒有掃描出來或漏掉了，產(chǎn)品直接上線，就會造成線上的安全弱點和安全風險。”王青如是說。

JFrog平臺的每個組成部分都由一支專業(yè)的安全工程師和研究人員團隊提供支持，他們積極調(diào)查、分析并揭露新的漏洞和攻擊方法。所有新的DevSecOps功能都建立在JFrog已經(jīng)非常強大的安全產(chǎn)品基礎(chǔ)之上，旨在提供一種全面、持續(xù)的方法，在軟件開發(fā)和交付的各個階段自動保護二進制制品的安全。這些強大的功能包括：JFrog Curation通過全新的OSS目錄功能，能夠幫助企業(yè)防止惡意軟件包或漏洞進入其開發(fā)環(huán)境；JFrog Xray用于在部署前主動檢測有風險的軟件包；具有上下文分析功能的JFrog Advanced Security可在軟件投入生產(chǎn)后，幫助用戶快速評估關(guān)鍵漏洞和密鑰暴露，以便及時執(zhí)行修復工作。

提升軟件供應鏈安全能力的關(guān)鍵在于，解析、分析某一個產(chǎn)品的依賴鏈條。在這方面，國際上有相關(guān)標準，中國的相關(guān)研究機構(gòu)也在嘗試建立類似的標準。JFrog早在2021年就推出了相關(guān)的產(chǎn)品功能，即基于SPDX軟件供應鏈成分的分析，第一時間賦予用戶軟件供應鏈分析的能力。王青表示：“未來，我們會針對軟件供應鏈整個鏈條上的安全能力、安全組件，包括許可證信息等進行分析；同時，還會對供應鏈中的一些高級攻擊行為進行捕捉，通過基于上下文的分析，精準識別供應鏈攻擊，并提供精準打擊、精準掃描的能力，幫助用戶極大地減少修復‘假陽性’漏洞的行為，從而節(jié)省開發(fā)者修復漏洞的成本。”

傳統(tǒng)的掃描單純依靠掃描工具，誰家的漏洞庫比較大，而且掃描全、速度快，用戶的體驗就會更好。王青介紹說：“JFrog的安全掃描是降維打擊，是在制品庫層面進行掃描。傳統(tǒng)掃描工具需要把包通過郵件或者FDB的方式發(fā)送，拷貝到掃描服務器上進行掃描。這種模式下有一個信息的煙囪問題。DevOps信息和安全信息是兩個煙囪。而在JFrog平臺中，制品的DevOps信息和安全信息是聚合的，是一個整體。因此，JFrog相對于傳統(tǒng)的漏洞掃描工具是降維打擊。”

在不斷增強平臺的安全功能的同時，JFrog還發(fā)布了全新的DevOps功能，主要包括：Hugging Face本地存儲庫——與常用AI存儲庫Hugging Face的原生連接，允許Python開發(fā)人員和數(shù)據(jù)科學家輕松代理和緩存其所依賴的開源AI模型，防止刪除或修改；ML模型管理，使AI模型開發(fā)與企業(yè)現(xiàn)有軟件流程保持一致，以加速和管理ML組件的持續(xù)交付；生命周期管理（RLM）能力可以在軟件開發(fā)生命周期的早期創(chuàng)建不可更改的“發(fā)布包”，定義軟件包及其組件，為每個應用程序提供單一的真實來源，另外JFrog RLM還使用防篡改系統(tǒng)、合規(guī)性檢查和證據(jù)捕獲，在開發(fā)的每個階段收集有關(guān)每個發(fā)布捆綁包的數(shù)據(jù)和洞察，以提高每次構(gòu)建質(zhì)量的透明度，并可輕松地與DevOps、IT和安全領(lǐng)域的多方利益相關(guān)者共享。

善用人工智能

AI的發(fā)展對于編程來說有很大的幫助和促進。在自動化集成流水線中，開發(fā)者不用寫代碼，DevOps工程師不用寫流水線。工程師只要提示AI需要一條什么樣的流水線，需要用到什么樣的資源，將什么部署到什么地區(qū)去，系統(tǒng)即可自動完成。上述這種日常的DevOps運維任務，完全可以由AI來替代。而且對于云原生環(huán)境來說，各種DevOps組件都是標準化的。

現(xiàn)在，越來越多的企業(yè)開始將機器學習（ML）模型納入其應用程序中。IDC的分析師指出，將ML模型從頭到尾部署到生產(chǎn)中，需要耗費大量時間和精力。即使投入生產(chǎn)，用戶也會面臨模型性能、模型漂移和偏差等挑戰(zhàn)。因此，擁有一個單一的記錄系統(tǒng)，幫助實現(xiàn)ML模型的自動開發(fā)、持續(xù)管理和安全性是十分必要的。

近日，JFrog就推出了ML模型管理功能，這也是業(yè)界首套旨在簡化ML模型管理和安全性的功能。JFrog平臺中的全新ML模型管理功能使AI交付與企業(yè)現(xiàn)有的DevOps和 DevSecOps實踐保持一致，可以加速、保護和管理ML組件的發(fā)布。

王青介紹說，使用JFrog全新的ML模型管理功能，企業(yè)能夠代理常用的公共ML倉庫 Hugging Face，緩存公司所依賴的開源AI模型，使其更貼近開發(fā)和生產(chǎn)，防止刪除或修改；還能檢測并阻止惡意ML模型的使用；通過掃描ML模型許可證，確保其符合公司政策；存儲自行開發(fā)或內(nèi)部增強型ML模型，并配置強大的訪問控制和版本歷史記錄，以提高透明度；將ML模型作為任何軟件版本的一部分進行打包和分發(fā)。

JFrog將ML模型管理功能以及模型安全性、合規(guī)性等引入統(tǒng)一的軟件供應鏈平臺，能夠幫助用戶在AI時代更輕松地實現(xiàn)可信軟件的大規(guī)模交付。

In China, For China

從2022年正式進入中國市場以來，JFrog一直在不斷加大對本地的投入力度，包括本地的技術(shù)支持、研發(fā)和售前等。

“2022年以前，我們通過唯一授權(quán)代理商的形式在中國運作經(jīng)營。2022年直接進入中國市場后，我們注意到這一市場的特殊性，不僅要適配中國用戶習慣的軟硬件，還要與供應鏈上的各個環(huán)節(jié)打通連接。”董任遠表示，“我們秉持著‘In China, For China’的原則，加大了本地研發(fā)和技術(shù)團隊的建設，希望幫助中國客戶建設一種具有中國特色的軟件制品管理模式。”

進入中國市場后，JFrog僅用一年時間便完成了商業(yè)模式的轉(zhuǎn)變，從單一的代理商模式過渡到與多個合作伙伴合作，加強與本地的合作伙伴共同創(chuàng)新。“在過去一年中，我們完成了與很多中國軟件、硬件的交互式認證，并且在合作伙伴數(shù)量、技術(shù)支持等方面也都取得了突破式的進展。”董任遠如是說。

整體上，JFrog對于中國市場的發(fā)展是持樂觀態(tài)度的。今年JFrog在中國的業(yè)務蓬勃向上，相比前兩年有了突飛猛進的提高。究其原因，中國用戶對于DevOps概念的接受程度逐步提升，同時對于JFrog能夠提升軟件的交付能力并節(jié)省運維成本的優(yōu)勢更加認同。近日，JFrog發(fā)布了全球渠道合作伙伴計劃，旨在幫助客戶通過第三方來采用JFrog解決方案，并為JFrog及其合作伙伴創(chuàng)造新的營收來源。“新的合作伙伴計劃獲得了非常熱烈而積極的反潰很多合作伙伴都希望加入到JFrog體系中。”董任遠介紹說，“在中國，我們無差別地對待所有的合作伙伴。只要是對JFrog技術(shù)感興趣的客戶，我們就會幫助客戶進行規(guī)劃，進行培訓和POC測試的同時，也會給代理商合作伙伴以技術(shù)能力方面的支持。明年，我們會繼續(xù)為提升合作伙伴的技術(shù)能力做更多工作，更好地實現(xiàn)雙贏。”

贊助本站