1171
JFrog及其打造的全球性的全语言开发运维平台,服务了全球约7400家客户。它致力于创造一个从开发者到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,能够帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。在数字化转型趋势下,JFrog近年来在全球实现了25%的业务增长,其中,中国是亚太区增长最快的区域。
日前,JFrog大中华和日本地区总经理董任远和JFrog(中国)技术总监王青接受了<与非网>等媒体采访,就软件供应链发展现状、最新的安全研究调研以及JFrog在中国市场的发展与行业展望进行了深入交流。
致力于适配国产化基础架构
据董任远介绍,在中国和日本,JFrog服务超过500家主要头部品牌,包括83%以上的财富100强企业,客户主要集中在金融、制造业和互联网行业。特别是在金融行业,JFrog提供了高性能和高可用性的解决方案,能够满足关键业务开发的需求。随着中国互联网行业的持续发展,JFrog也对头部品牌提供了良好的支持。
在中国,JFrog采取"in China, for China"的战略,致力于适配中国市场日益增长的国产化基础架构产品,如芯片、服务器、数据库和中间件。过去一年,JFrog完成了全线产品对国产信创产品的适配,并已有客户将JFrog产品应用于信创环境。针对中国市场特有的行业发展需求,JFrog提供产品优化和定制化支持。
他表示,JFrog在中国市场的快速增长主要体现在两个方面:新业务增长和传统业务增长。新业务增长主要源自汽车行业,尤其是新能源车领域的快速发展,JFrog为这些企业提供了适应其开发运维平台的解决方案;传统业务增长则来自于金融、制造等行业的企业出海,JFrog帮助这些企业实现全球化的开发运维部署。
面对中国市场的独特需求和挑战,JFrog采取了本地化策略和发展规划。由于中国客户倾向于使用私有化部署,尤其是在国产化的私有云解决方案上,JFrog对产品进行了调优和测试,以确保在国产CPU、数据库、服务器和操作系统上能够顺畅运行并发挥最高性能。此外,JFrog还支持金融等行业客户将开发运维平台迁移到信创环境,帮助他们完成相关部署。
全球软件供应链安全挑战及趋势
为了加强行业对软件供应链安全重要性的认识,并提供对软件供应链管理的深入见解,JFrog Research团队近期发布了一份全球软件供应链发展报告。该报告基于安全团队的CVE分析和对1224名安全、开发、运维人员的第三方调研。报告主要包含四大核心点:
第一,软件供应链的构成。报告分析了AI的崛起对供应链的影响,以及多种开发语言和容器化技术成为主流的现状。第二,隐藏的风险。报告中探讨了使用多种语言包时可能遇到的挑战,如开发者密钥的安全、漏洞爆发对应用的影响,以及前后端漏洞影响范围的区别。第三,如何面对已知安全风险。该报告基于用户访谈,展示了自动化在安全修复中的应用比例,以及企业在安全修复上所花费的时间和成本。第四,AI的涌入。报告分析了企业对AI应用的理解程度和接受度。
针对这些核心点,王青分享了一些关键发现:
首先,根据JFrog Catalog产品的数据调查,大多数企业已经采取了措施来监测和管理开源软件包的安全问题。其中,92%的专业人士认为他们的企业至少有一个监测恶意开源包的解决方案,89%的受访者表示已经采用了谷歌主导的OpenSSF SLSA框架(这是一个国际广泛接受的软件供应链安全标准)。在开发人员中,42%认为最好在代码编写期间执行安全扫描,48%的受访者在代码扫描时进行手动检查代码,而非自动扫描。只有1%的受访者实现了代码审查完全自动化。
一个行业痛点值得关注:约25%的安全团队花费大量时间修复可能被过度评估或不适用于他们应用的漏洞,导致许多开发人员将宝贵的时间浪费在修复不必要的漏洞上,而非从事能够提升商业价值的工作。
第二,在安全实践方面,59%的企业在构建时进行安全扫描;静态应用程序安全测试(SAST)是最常用的解决方案,占61%。
动态应用程序安全测试由于耗时比较长,有58%的公司进行这一安全测试;同时,软件构成分析的测试占比58%,得益于扫描快速,这个数字提升潜力巨大,包括JFrog本身就能做软件构成分析的扫描;56%的企业实现了API安全扫描。
第三,漏洞影响方面,JFrog安全团队对85%的严重CVE和73%的高危CVE进行了评级下调,帮助研发团队避免关注虚高的漏洞分数。同时,JFrog可以对漏洞进行上下文风险分析,确认许多漏洞的评级可以下降,从而节省开发者的时间。在Docker Hub中分析的100个最受欢迎的镜像中,74%的CVE漏洞实际上不可被利用,意味着这些漏洞可以被忽略。
第四,在AI/ML工具的使用方面,90%的受访者表示他们的扫描工具支持AI,32%的企业使用AI工具如Copilot协助代码生成,但同时也意识到使用AI/ML工具可能带来的风险,如恶意训练和植入恶意包的问题。
对区域市场安全实践的展望
王青分享了不同区域的安全解决方案使用情况:
在印度,65%的受访者使用十个或更多的安全解决方案。相比之下,中国、法国、德国、以色列和英国的受访者中约有一半使用六种或更少的应用安全解决方案,表明这些地区倾向于使用统一平台进行安全扫描。
漏洞修复时间方面,54%的印度受访者指出,开发人员通常每月花费一周或更长时间修复漏洞。
对AI和ML的采用态度方面,法国和英国的受访者表示,他们最不可能在软件开发过程中使用人工智能和机器学习技术。
Docker Hub遭受协同攻击,JFrog和Docker联手采取缓解和清理措施
JFrog还与Docker联合进行了一项调研,发现Docker Hub遭受协同攻击,被植入数百万恶意存储库。
Docker Hub作为一个为开发者提供多样化功能的平台,为Docker镜像的开发、协作和分发开辟了许多可能性。目前,它是全球开发者首选的头号容器平台,托管着超过1500万个存储库。
JFrog通过分析Docker Hub的存储库发布模式,识别出了异常行为,并发现约460万个无镜像存储库中的281万个与这些恶意活动有关。Docker Hub迅速响应,下架了所有被标记为恶意的存储库。
JFrog的发现和Docker的快速响应凸显了持续监控公共平台的重要性,双方提醒用户在使用这些平台时要保持警惕,为了防范类似攻击,用户应优先使用Docker Hub中标记为“可信内容”的镜像,并注意官方镜像标签、已验证发布者和赞助OSS标签。
中国市场的挑战和前景
谈及中国市场的发展和规划时,王青从软件供应链安全角度进行了分享:首先,未来的软件供应链将趋向集中化,不再需要为每种语言单独采购扫描工具,而是实现全语言的集中式扫描;其次,鉴于互联网企业频繁的版本发布,漏洞扫描必须高效快速,以适应快节奏的研发需求;第三,企业需要适配如SLSA等安全等级标准,确保软件发布处于行业领先地位。
董任远认为,中国市场跟其他市场的主要区别在于拥有很多国产新设备。过去几年,中国在技术创新上有很多的突破,无论是硬件、软件等,涌现出很多国产化需求。因此,JFrog在适配中国客户需求的过程中,需要保持多样性以及最大范围的兼容。同时,JFrog也针对中国客户需求进行了优化,确保无论使用何种硬件或软件平台,客户都能获得最大化的性能和效率。
下载ECAD模型
