从软件吞噬世界,到开源吞噬软件,不可否认的是,开源已经成为业务敏捷式创新的重要手段,越来越多的软件融入到企业的关键业务中,代码的质量甚至可以直接影响最终的商业价值。风险随之而来,IT环境更加复杂,软件的开发和运维面临新的变量,开源软件遭受攻击与日俱增,例如针对NPM的CVE漏洞等,2023年上半年,此类攻击超过6000个。“传统的软件开发到交付过程中会有很多流程,包括开发、测试、运维、数据中心、设备等等,每个环节都涉及不同的工作流程,JFrog的使命就是让这些流程保持顺畅。”JFrog大中华区总经理董任远表示,“我们称自己为流式软件。在此基础之上,JFrog还加入了一些新的安全功能,可以帮助人们在第一时间检查到软件有哪些风险因素。”
JFrog大中华区总经理董任远
不少开发者可能会在仓库中泄漏密钥信息,例如用户在公共的NPM仓库中泄漏了手机号、ID、IP等信息,黑客就可以借此盗用、登录或植入远程代码来侵入线上的系统。JFrog对互联网上将近400万个包进行了扫描,其中有超过25万个TOKENS被检测到,意味着在NPM等仓库在网络上存在大量的TOKEN泄露情况,而这并没有被企业所重视。另一个新型的攻击方式是通过机器学习模型进行投毒,像是在Hugging Face上有着大量的开源模型,任何都能注册上传和下载模型,这也为黑客带来了潜在的机会,后者可以将恶意代码注入大模型,调用本地的资源和程序。
此外,开发者在使用开源软件进行开发时,并不会主动进行安全扫描,而是会在本地满足功能后再扫描,期间一旦有所疏忽,就很容易引发上线之后的风险。在云原生的环境下,新的挑战更多了,开发者在传统的软件交付过程中,只要关注自己的jar包或tar包有无漏洞即可,运维的虚拟机几乎不会变,把端口扫描、防火墙、漏洞扫描做好就可以了。但是在云原生的平台上,底层的操作系统镜像不同,每个系统又有各自的中间件,这些中间件也各不相同,由此带来了更复杂的防范难度。同时,漏洞隐藏的也更加隐蔽。
对此,JFrog提供了XRAY漏洞扫描等新功能,可以及时在开发者的工具链中识别出第三方软件是否有高危漏洞,让开发者有安全意识主动修复,并且能够在代码合并/入库时主动进行安全扫描,有效阻断风险。同时,支持Docker镜像深度扫描,无论jar包隐藏在镜像的什么位置,都能在漏洞出现时找到,定位受影响的镜像位置和相关的维护及修复行为。
JFrog拥有全语言制品库(DevOps Platform),支持近30种语言开发包,集成了Jenkins等各类CI/CD工具,可以管理企业内部各种软件包,并进行安全治理。据了解,JFrog的核心功能有两个部分,一是制品管理,包括Artifactory和Distribution,可以进行版本的上传和分发,两个组件可实现版本的内部管理和异地分发,二是和安全相关的Artifactory,包括XRAY和高级扫描等功能。借助JFrog的Artifactory XRAY,使得开发者在通过制品库拉包时,如果遇到10分漏洞包,会自动拉包失败,而不是利用安全扫描工具去阻断,这种制品库的方式可以帮助企业更好的做到安全左移。
对于企业CIO来说,DevOps和安全的融合是一个较难解决的问题。为此,JFrog推出了一系列的新功能和新产品,JFrog Curation通过全新OSS目录功能,能够帮助企业防止恶意软件包或漏洞进入其开发环境,此前的XRAY可以在开发者的工具IDE中扫描,Curation则是在代理仓库的层面扫描,即用户在尝试用新版本的开源组件时,JFrog Curation会通过漏洞库查询该版本是否发现过漏洞,如果有漏洞,下载请求会被阻断,管理员也会收到通知。
JFrog可以提供一个软件包的“google式搜索”,涵盖了互联网上的约400万个软件包,支持NPM、Python、Docker、Maven,以及后续的NuGet、Go等多种语言。开发者只需在内网搜索即可获取可信的开源软件库,未来,JFrog还会提供私有目录,可以把审核过的版本保存在企业内部变成私有仓库供用户使用。JFrogSAST(静态应用程序安全测试)与多种开发环境无缝集成,能帮助客户快速准确扫描源代码中的零日安全漏洞,还可以通过上下文分析来减少误报,帮助确定问题的优先级并采取纠正措施。
传统的漏洞扫描工具会基于CVE的特征码来进行,不具备上下文的分析能力,以JAVA工程为例,引入漏洞包后,即使没有被调用、未对程序产生影响,依然会报出有漏洞,需求马上修复,由此带来了无效扫描的成本增加,这种情况被JFrog称为“假阳性”。利用上下文的分析,JFrog的高级扫描套件会检查是否使用了漏洞版本,并且会基于该漏洞的引用,通过在程序内进行代码反编译等方式,找到哪一行的代码实际调用了漏洞包,之后会提示其是一个可被利用的漏洞信息,此时才会告警用户,建议立即修复,如果没有找到调用证据,则会提示不可被利用,可以忽略该漏洞。
在AI/ML方面,JFrog原生集成了Hugging Face,这种连接允许Python开发人员和数据科学家轻松代理和缓存其所依赖的开源AI模型,防止删除或修改。同时,可以扫描Hugging Face仓库中的授权是否合规。借助Artifactory,可以代理远程的Hugging Face库的模型,扫描后下载到本地,再由开发者进行调试,之后上传到Artifactory进行模型发布。JFrog的全新ML模型管理功能可以快速扫描和检测恶意机器学习模型,在需要之时阻止其使用,并确保许可证符合公司政策,从而更安全地使用AI,并且使AI模型开发与企业现有软件流程保持一致,以加速和管理ML组件的持续交付。
JFrog中国技术总监王青认为,日常的DevOps运维任务完全可以由AI来替代,在生成式AI和大模型的帮助下,CI/CD自动化的能力将提升一个层次,“它的部署方式一旦建立标准化之后,模型可以自动生成对应的代码脚本。对于大数据量的模型来说,企业内部缺少一个对其进行有效管理的仓库。为此,JFrog不仅可以帮助企业管理内部的大模型(包括外部平台或本地的模型),还可以基于扫描来识别模型的license,避免侵权行为。未来,我们还会加入漏洞扫描等功能,保障软件的安全性。”
JFrog中国技术总监王青
目前,JFrog在全球拥有7200家客户,服务着89%的财富100强企业,客户遍及各行各业。例如,在金融行业,JFrog可以支撑银行业的“两地三中心”建设,满足高可靠和异地协同开发等要求。在汽车行业,JFrog可以帮助有出海需求的中国车企扫描所有的代码,一键式生成软件物料清单(SBOM),直接递交给欧盟审查。随着软件定义汽车日益流行,类似的需求会越来越多。
面向中国市场,JFrog提供了平台级的服务,包括制品库、XRAY等七个核心产品,并且在持续更新,针对国产的软硬件也做了相关的兼容性适配。JFrog在中国大陆、中国香港和台湾地区的客户数量达到500家,合作伙伴超过30家,同时,该公司在中国有着最大规模的开发者社区和开发团队,持续在支持、研发、售前、销售、合作伙伴等团队上进行投入。过去一年,JFrog在中国市场的业务规模增长超过一倍。
2022年开始,JFrog把单一的渠道合作拓展为多地域、多伙伴的模式,在北京、上海、广州、深圳、香港、台湾等地均有本地的合作伙伴,并陆续推出了一系列渠道支持政策,吸引更多的伙伴加入。JFrog会为伙伴和客户提供技术培训、POC测试等服务,进一步提升整体解决方案的价值。“JFrog会在中国市场继续加大投入,加强与合作伙伴共同创新的能力。过去一年,我们与中国的各种软硬件产品完成了很多交互式认证,包括芯片、操作系统等等,以更好的满足中国客户的需求。”董任远谈到,“我们秉持着‘In China,For China’的理念,希望能够帮助中国的客户建设一种有中国特色的软件制品管理的模式。”
本文属于原创文章,如若转载,请注明来源:携手生态伙伴 护航软件供应链的加速创新https://cio.zol.com.cn/848/8488587.html