JFrog及其打造的全球性的全語言開發(fā)運(yùn)維平臺(tái),服務(wù)了全球約7400家客戶。它致力于創(chuàng)造一個(gè)從開發(fā)者到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng),能夠幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。在數(shù)字化轉(zhuǎn)型趨勢下,JFrog近年來在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長,其中,中國是亞太區(qū)增長最快的區(qū)域。
日前,JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)和JFrog(中國)技術(shù)總監(jiān)王青接受了<與非網(wǎng)>等媒體采訪,就軟件供應(yīng)鏈發(fā)展現(xiàn)狀、最新的安全研究調(diào)研以及JFrog在中國市場的發(fā)展與行業(yè)展望進(jìn)行了深入交流。
致力于適配國產(chǎn)化基礎(chǔ)架構(gòu)
據(jù)董任遠(yuǎn)介紹,在中國和日本,JFrog服務(wù)超過500家主要頭部品牌,包括83%以上的財(cái)富100強(qiáng)企業(yè),客戶主要集中在金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。特別是在金融行業(yè),JFrog提供了高性能和高可用性的解決方案,能夠滿足關(guān)鍵業(yè)務(wù)開發(fā)的需求。隨著中國互聯(lián)網(wǎng)行業(yè)的持續(xù)發(fā)展,JFrog也對(duì)頭部品牌提供了良好的支持。
在中國,JFrog采取"in China, for China"的戰(zhàn)略,致力于適配中國市場日益增長的國產(chǎn)化基礎(chǔ)架構(gòu)產(chǎn)品,如芯片、服務(wù)器、數(shù)據(jù)庫和中間件。過去一年,JFrog完成了全線產(chǎn)品對(duì)國產(chǎn)信創(chuàng)產(chǎn)品的適配,并已有客戶將JFrog產(chǎn)品應(yīng)用于信創(chuàng)環(huán)境。針對(duì)中國市場特有的行業(yè)發(fā)展需求,JFrog提供產(chǎn)品優(yōu)化和定制化支持。
他表示,JFrog在中國市場的快速增長主要體現(xiàn)在兩個(gè)方面:新業(yè)務(wù)增長和傳統(tǒng)業(yè)務(wù)增長。新業(yè)務(wù)增長主要源自汽車行業(yè),尤其是新能源車領(lǐng)域的快速發(fā)展,JFrog為這些企業(yè)提供了適應(yīng)其開發(fā)運(yùn)維平臺(tái)的解決方案;傳統(tǒng)業(yè)務(wù)增長則來自于金融、制造等行業(yè)的企業(yè)出海,JFrog幫助這些企業(yè)實(shí)現(xiàn)全球化的開發(fā)運(yùn)維部署。
面對(duì)中國市場的獨(dú)特需求和挑戰(zhàn),JFrog采取了本地化策略和發(fā)展規(guī)劃。由于中國客戶傾向于使用私有化部署,尤其是在國產(chǎn)化的私有云解決方案上,JFrog對(duì)產(chǎn)品進(jìn)行了調(diào)優(yōu)和測試,以確保在國產(chǎn)CPU、數(shù)據(jù)庫、服務(wù)器和操作系統(tǒng)上能夠順暢運(yùn)行并發(fā)揮最高性能。此外,JFrog還支持金融等行業(yè)客戶將開發(fā)運(yùn)維平臺(tái)遷移到信創(chuàng)環(huán)境,幫助他們完成相關(guān)部署。
全球軟件供應(yīng)鏈安全挑戰(zhàn)及趨勢
為了加強(qiáng)行業(yè)對(duì)軟件供應(yīng)鏈安全重要性的認(rèn)識(shí),并提供對(duì)軟件供應(yīng)鏈管理的深入見解,JFrog Research團(tuán)隊(duì)近期發(fā)布了一份全球軟件供應(yīng)鏈發(fā)展報(bào)告。該報(bào)告基于安全團(tuán)隊(duì)的CVE分析和對(duì)1224名安全、開發(fā)、運(yùn)維人員的第三方調(diào)研。報(bào)告主要包含四大核心點(diǎn):
第一,軟件供應(yīng)鏈的構(gòu)成。報(bào)告分析了AI的崛起對(duì)供應(yīng)鏈的影響,以及多種開發(fā)語言和容器化技術(shù)成為主流的現(xiàn)狀。第二,隱藏的風(fēng)險(xiǎn)。報(bào)告中探討了使用多種語言包時(shí)可能遇到的挑戰(zhàn),如開發(fā)者密鑰的安全、漏洞爆發(fā)對(duì)應(yīng)用的影響,以及前后端漏洞影響范圍的區(qū)別。第三,如何面對(duì)已知安全風(fēng)險(xiǎn)。該報(bào)告基于用戶訪談,展示了自動(dòng)化在安全修復(fù)中的應(yīng)用比例,以及企業(yè)在安全修復(fù)上所花費(fèi)的時(shí)間和成本。第四,AI的涌入。報(bào)告分析了企業(yè)對(duì)AI應(yīng)用的理解程度和接受度。
針對(duì)這些核心點(diǎn),王青分享了一些關(guān)鍵發(fā)現(xiàn):
首先,根據(jù)JFrog Catalog產(chǎn)品的數(shù)據(jù)調(diào)查,大多數(shù)企業(yè)已經(jīng)采取了措施來監(jiān)測和管理開源軟件包的安全問題。其中,92%的專業(yè)人士認(rèn)為他們的企業(yè)至少有一個(gè)監(jiān)測惡意開源包的解決方案,89%的受訪者表示已經(jīng)采用了谷歌主導(dǎo)的OpenSSF SLSA框架(這是一個(gè)國際廣泛接受的軟件供應(yīng)鏈安全標(biāo)準(zhǔn))。在開發(fā)人員中,42%認(rèn)為最好在代碼編寫期間執(zhí)行安全掃描,48%的受訪者在代碼掃描時(shí)進(jìn)行手動(dòng)檢查代碼,而非自動(dòng)掃描。只有1%的受訪者實(shí)現(xiàn)了代碼審查完全自動(dòng)化。
一個(gè)行業(yè)痛點(diǎn)值得關(guān)注:約25%的安全團(tuán)隊(duì)花費(fèi)大量時(shí)間修復(fù)可能被過度評(píng)估或不適用于他們應(yīng)用的漏洞,導(dǎo)致許多開發(fā)人員將寶貴的時(shí)間浪費(fèi)在修復(fù)不必要的漏洞上,而非從事能夠提升商業(yè)價(jià)值的工作。
第二,在安全實(shí)踐方面,59%的企業(yè)在構(gòu)建時(shí)進(jìn)行安全掃描;靜態(tài)應(yīng)用程序安全測試(SAST)是最常用的解決方案,占61%。
動(dòng)態(tài)應(yīng)用程序安全測試由于耗時(shí)比較長,有58%的公司進(jìn)行這一安全測試;同時(shí),軟件構(gòu)成分析的測試占比58%,得益于掃描快速,這個(gè)數(shù)字提升潛力巨大,包括JFrog本身就能做軟件構(gòu)成分析的掃描;56%的企業(yè)實(shí)現(xiàn)了API安全掃描。
第三,漏洞影響方面,JFrog安全團(tuán)隊(duì)對(duì)85%的嚴(yán)重CVE和73%的高危CVE進(jìn)行了評(píng)級(jí)下調(diào),幫助研發(fā)團(tuán)隊(duì)避免關(guān)注虛高的漏洞分?jǐn)?shù)。同時(shí),JFrog可以對(duì)漏洞進(jìn)行上下文風(fēng)險(xiǎn)分析,確認(rèn)許多漏洞的評(píng)級(jí)可以下降,從而節(jié)省開發(fā)者的時(shí)間。在Docker Hub中分析的100個(gè)最受歡迎的鏡像中,74%的CVE漏洞實(shí)際上不可被利用,意味著這些漏洞可以被忽略。
第四,在AI/ML工具的使用方面,90%的受訪者表示他們的掃描工具支持AI,32%的企業(yè)使用AI工具如Copilot協(xié)助代碼生成,但同時(shí)也意識(shí)到使用AI/ML工具可能帶來的風(fēng)險(xiǎn),如惡意訓(xùn)練和植入惡意包的問題。
對(duì)區(qū)域市場安全實(shí)踐的展望
王青分享了不同區(qū)域的安全解決方案使用情況:
在印度,65%的受訪者使用十個(gè)或更多的安全解決方案。相比之下,中國、法國、德國、以色列和英國的受訪者中約有一半使用六種或更少的應(yīng)用安全解決方案,表明這些地區(qū)傾向于使用統(tǒng)一平臺(tái)進(jìn)行安全掃描。
漏洞修復(fù)時(shí)間方面,54%的印度受訪者指出,開發(fā)人員通常每月花費(fèi)一周或更長時(shí)間修復(fù)漏洞。
對(duì)AI和ML的采用態(tài)度方面,法國和英國的受訪者表示,他們最不可能在軟件開發(fā)過程中使用人工智能和機(jī)器學(xué)習(xí)技術(shù)。
Docker Hub遭受協(xié)同攻擊,JFrog和Docker聯(lián)手采取緩解和清理措施
JFrog還與Docker聯(lián)合進(jìn)行了一項(xiàng)調(diào)研,發(fā)現(xiàn)Docker Hub遭受協(xié)同攻擊,被植入數(shù)百萬惡意存儲(chǔ)庫。
Docker Hub作為一個(gè)為開發(fā)者提供多樣化功能的平臺(tái),為Docker鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前,它是全球開發(fā)者首選的頭號(hào)容器平臺(tái),托管著超過1500萬個(gè)存儲(chǔ)庫。
JFrog通過分析Docker Hub的存儲(chǔ)庫發(fā)布模式,識(shí)別出了異常行為,并發(fā)現(xiàn)約460萬個(gè)無鏡像存儲(chǔ)庫中的281萬個(gè)與這些惡意活動(dòng)有關(guān)。Docker Hub迅速響應(yīng),下架了所有被標(biāo)記為惡意的存儲(chǔ)庫。
JFrog的發(fā)現(xiàn)和Docker的快速響應(yīng)凸顯了持續(xù)監(jiān)控公共平臺(tái)的重要性,雙方提醒用戶在使用這些平臺(tái)時(shí)要保持警惕,為了防范類似攻擊,用戶應(yīng)優(yōu)先使用Docker Hub中標(biāo)記為“可信內(nèi)容”的鏡像,并注意官方鏡像標(biāo)簽、已驗(yàn)證發(fā)布者和贊助OSS標(biāo)簽。
中國市場的挑戰(zhàn)和前景
談及中國市場的發(fā)展和規(guī)劃時(shí),王青從軟件供應(yīng)鏈安全角度進(jìn)行了分享:首先,未來的軟件供應(yīng)鏈將趨向集中化,不再需要為每種語言單獨(dú)采購掃描工具,而是實(shí)現(xiàn)全語言的集中式掃描;其次,鑒于互聯(lián)網(wǎng)企業(yè)頻繁的版本發(fā)布,漏洞掃描必須高效快速,以適應(yīng)快節(jié)奏的研發(fā)需求;第三,企業(yè)需要適配如SLSA等安全等級(jí)標(biāo)準(zhǔn),確保軟件發(fā)布處于行業(yè)領(lǐng)先地位。
董任遠(yuǎn)認(rèn)為,中國市場跟其他市場的主要區(qū)別在于擁有很多國產(chǎn)新設(shè)備。過去幾年,中國在技術(shù)創(chuàng)新上有很多的突破,無論是硬件、軟件等,涌現(xiàn)出很多國產(chǎn)化需求。因此,JFrog在適配中國客戶需求的過程中,需要保持多樣性以及最大范圍的兼容。同時(shí),JFrog也針對(duì)中國客戶需求進(jìn)行了優(yōu)化,確保無論使用何種硬件或軟件平臺(tái),客戶都能獲得最大化的性能和效率。