为了加快新产品上市速度,同时保证软件的质量,开发人员已经使出了浑身解数,忙得不可开交,但攻击者却不断发起新的攻击,扰乱正常的流程,甚至造成无法挽回的损失。软件供应链安全应该如何保障?谁又该为安全的软件开发、交付和迭代负责?
JFrog挺身而出。“JFrog能够管理企业内部所有的软件包,所以JFrog是最适合来做软件包管理工具的,同时还可以完成安全扫描。”JFrog大中华区总经理董任远表示,“JFrog的使命是创造从开发人员到设备之间畅通无阻的软件交付世界。传统的软件开发到交付中间有很多的流程,比如开发、测试、运维、数据中心、设备等。而每一个环节也都有不同的工作流程。让所有的工作流程顺畅是我们努力的目标。我们做的是流式软件,在此基础上又加载了一些新的安全功能,可以使工作人员第一时间发现软件的漏洞和不安全因素。”
JFrog大中华区总经理董任远
JFrog致力于打造面向DevOps和安全的通用软件供应链平台。
DevOps+安全 齐头并进
调查显示,从去年到今年,CIO们最关注的问题之一,是如何将DevOps与安全合二为一,真正融合起来。为此,很多企业购买了大量安全扫描工具。但是安全人员发现,这些安全扫描工具无法与DevOps流程相结合,甚至安全工具的扫描阻碍了DevOps流程的快速发布。这是一对矛盾体。
JFrog有没有什么好办法让DevOps与安全从对立走向融合呢?近些年来,JFrog一直战略性地进行大力投资,开发全面的、以DevOps为中心的安全解决方案,旨在应对未来的威胁。在二进制层面,JFrog创性性地实现了DevSecOps流程的自动化。经过客户实践证明,这是保护软件供应链的最有效方法。JFrog为客户提供的保护范围涵盖开源和第一方代码、机密检测、IaC安全和OSS软件包的创建,并且还引入AI和MLOps安全性、缓存和保护客户的ML模型。
2023年12月,JFrog发布了创新的功能,为软件发布的质量、安全性、MLOps和完整性设定标准。“从创建到生产,JFrog平台在软件开发生命周期的每个阶段都注入了二进制级别的安全性,以确保应用程序的可追溯性、可靠性、合规性和安全性。”JFrog中国技术总监王青表示,“JFrog软件供应链平台的新功能将持续满足客户对全面的、以DevOps为中心的安全性和自动化的需求,从而推动真正的‘安全左移’战略。”
JFrog推出的新功能主要包括以下几方面:确保AI和ML模型安全性——JFrog的全新ML模型管理功能,可快速扫描和检测恶意机器学习模型,在需要时阻止其使用,并确保许可证符合公司政策,从而更安全地使用AI;静态应用程序安全测试(SAST)功能——可与多种开发环境无缝集成,帮助客户快速准确地扫描源代码中的零日安全漏洞,另外JFrog SAST还可以通过上下文分析来减少误报,帮助确定问题的优先级,并采取纠正措施;开源软件(OSS)目录——作为JFrog Curation的一部分,该目录在JFrog UI中或通过API提供一个“软件包搜索引擎”,该搜索引擎由公共数据和JFrog数据提供支持,能够帮助用户立即了解与所有OSS软件包相关的安全和风险元数据。
“开发者是引入开源组件漏洞的最大群体。现在的软件工程开发会使用各种各样的开源软件。在使用过程中,开发者通常不会主动事先做安全扫描,而是在满足了功能需求之后再来做扫描。就是因为这个时间差,一旦安全漏洞没有扫描出来或漏掉了,产品直接上线,就会造成线上的安全弱点和安全风险。”王青如是说。
JFrog平台的每个组成部分都由一支专业的安全工程师和研究人员团队提供支持,他们积极调查、分析并揭露新的漏洞和攻击方法。所有新的DevSecOps功能都建立在JFrog已经非常强大的安全产品基础之上,旨在提供一种全面、持续的方法,在软件开发和交付的各个阶段自动保护二进制制品的安全。这些强大的功能包括:JFrog Curation通过全新的OSS目录功能,能够帮助企业防止恶意软件包或漏洞进入其开发环境;JFrog Xray用于在部署前主动检测有风险的软件包;具有上下文分析功能的JFrog Advanced Security可在软件投入生产后,帮助用户快速评估关键漏洞和密钥暴露,以便及时执行修复工作。
提升软件供应链安全能力的关键在于,解析、分析某一个产品的依赖链条。在这方面,国际上有相关标准,中国的相关研究机构也在尝试建立类似的标准。JFrog早在2021年就推出了相关的产品功能,即基于SPDX软件供应链成分的分析,第一时间赋予用户软件供应链分析的能力。王青表示:“未来,我们会针对软件供应链整个链条上的安全能力、安全组件,包括许可证信息等进行分析;同时,还会对供应链中的一些高级攻击行为进行捕捉,通过基于上下文的分析,精准识别供应链攻击,并提供精准打击、精准扫描的能力,帮助用户极大地减少修复‘假阳性’漏洞的行为,从而节省开发者修复漏洞的成本。”
传统的扫描单纯依靠扫描工具,谁家的漏洞库比较大,而且扫描全、速度快,用户的体验就会更好。王青介绍说:“JFrog的安全扫描是降维打击,是在制品库层面进行扫描。传统扫描工具需要把包通过邮件或者FDB的方式发送,拷贝到扫描服务器上进行扫描。这种模式下有一个信息的烟囱问题。DevOps信息和安全信息是两个烟囱。而在JFrog平台中,制品的DevOps信息和安全信息是聚合的,是一个整体。因此,JFrog相对于传统的漏洞扫描工具是降维打击。”
在不断增强平台的安全功能的同时,JFrog还发布了全新的DevOps功能,主要包括:Hugging Face本地存储库——与常用AI存储库Hugging Face的原生连接,允许Python开发人员和数据科学家轻松代理和缓存其所依赖的开源AI模型,防止删除或修改;ML模型管理,使AI模型开发与企业现有软件流程保持一致,以加速和管理ML组件的持续交付;生命周期管理(RLM)能力可以在软件开发生命周期的早期创建不可更改的“发布包”,定义软件包及其组件,为每个应用程序提供单一的真实来源,另外JFrog RLM还使用防篡改系统、合规性检查和证据捕获,在开发的每个阶段收集有关每个发布捆绑包的数据和洞察,以提高每次构建质量的透明度,并可轻松地与DevOps、IT和安全领域的多方利益相关者共享。
善用人工智能
AI的发展对于编程来说有很大的帮助和促进。在自动化集成流水线中,开发者不用写代码,DevOps工程师不用写流水线。工程师只要提示AI需要一条什么样的流水线,需要用到什么样的资源,将什么部署到什么地区去,系统即可自动完成。上述这种日常的DevOps运维任务,完全可以由AI来替代。而且对于云原生环境来说,各种DevOps组件都是标准化的。
现在,越来越多的企业开始将机器学习(ML)模型纳入其应用程序中。IDC的分析师指出,将ML模型从头到尾部署到生产中,需要耗费大量时间和精力。即使投入生产,用户也会面临模型性能、模型漂移和偏差等挑战。因此,拥有一个单一的记录系统,帮助实现ML模型的自动开发、持续管理和安全性是十分必要的。
近日,JFrog就推出了ML模型管理功能,这也是业界首套旨在简化ML模型管理和安全性的功能。JFrog平台中的全新ML模型管理功能使AI交付与企业现有的DevOps和 DevSecOps实践保持一致,可以加速、保护和管理ML组件的发布。
王青介绍说,使用JFrog全新的ML模型管理功能,企业能够代理常用的公共ML仓库 Hugging Face,缓存公司所依赖的开源AI模型,使其更贴近开发和生产,防止删除或修改;还能检测并阻止恶意ML模型的使用;通过扫描ML模型许可证,确保其符合公司政策;存储自行开发或内部增强型ML模型,并配置强大的访问控制和版本历史记录,以提高透明度;将ML模型作为任何软件版本的一部分进行打包和分发。
JFrog将ML模型管理功能以及模型安全性、合规性等引入统一的软件供应链平台,能够帮助用户在AI时代更轻松地实现可信软件的大规模交付。
In China, For China
从2022年正式进入中国市场以来,JFrog一直在不断加大对本地的投入力度,包括本地的技术支持、研发和售前等。
“2022年以前,我们通过唯一授权代理商的形式在中国运作经营。2022年直接进入中国市场后,我们注意到这一市场的特殊性,不仅要适配中国用户习惯的软硬件,还要与供应链上的各个环节打通连接。”董任远表示,“我们秉持着‘In China, For China’的原则,加大了本地研发和技术团队的建设,希望帮助中国客户建设一种具有中国特色的软件制品管理模式。”
进入中国市场后,JFrog仅用一年时间便完成了商业模式的转变,从单一的代理商模式过渡到与多个合作伙伴合作,加强与本地的合作伙伴共同创新。“在过去一年中,我们完成了与很多中国软件、硬件的交互式认证,并且在合作伙伴数量、技术支持等方面也都取得了突破式的进展。”董任远如是说。
整体上,JFrog对于中国市场的发展是持乐观态度的。今年JFrog在中国的业务蓬勃向上,相比前两年有了突飞猛进的提高。究其原因,中国用户对于DevOps概念的接受程度逐步提升,同时对于JFrog能够提升软件的交付能力并节省运维成本的优势更加认同。近日,JFrog发布了全球渠道合作伙伴计划,旨在帮助客户通过第三方来采用JFrog解决方案,并为JFrog及其合作伙伴创造新的营收来源。“新的合作伙伴计划获得了非常热烈而积极的反溃很多合作伙伴都希望加入到JFrog体系中。”董任远介绍说,“在中国,我们无差别地对待所有的合作伙伴。只要是对JFrog技术感兴趣的客户,我们就会帮助客户进行规划,进行培训和POC测试的同时,也会给代理商合作伙伴以技术能力方面的支持。明年,我们会继续为提升合作伙伴的技术能力做更多工作,更好地实现双赢。”
