【赛迪网讯】在互联网技术更新周期越来越短的今天，软件定义企业、行业都已成为大众的共识。软件更新越来越频繁，如何管理这庞大的软件就是摆在企业经营者面前需要重视的问题。JFrog是全球企业软件资产管理的先行者，致力于创造从开发人员到设备之间畅通无阻的软件交付世界，做企业软件资产管理的仓库，其软件管理涵盖从开发人员的开发、测试到分发，以及到最后客户手机端和应用端。

近日，JFrog发布了Forrester咨询机构最新调研的总体经济影响 （Total Economic Impact，简称TEI）研究报告。在媒体沟通会上，赛迪网对JFrog首席信息官Aran Azarzar做了专访。

使用JFrog软件供应链平台有望实现近四倍回报

从2008年成立至今，JFrog在不到二十年的时间里已经成长成为覆盖各行各业整个软件供应链的管理者。从2021年进入中国，虽然至今也不过三年时间，却收获了超400中国客户（JFrog在全球至今已积累了超过7200个客户）。

为什么JFrog能在短时间内取得如此大的成功？Forrester的TEI报告给出了一个解答。报告显示，使用JFrog软件供应链平台的企业客户可在三年内实现393%的投资回报率，并且在不到六个月的时间内有望实现约2000万美元的投资回报。这份报告是基于JFrog在金融科技、健康保险和半导体行业的领先企业中选择的四家不同使用JFrog软件供应链平台的JFrog企业客户进行的考察得出的结论，对行业非常具有参考价值。

Log4J事件的启发

2021年11月24日，中国阿里巴巴集团安全团队的一名工程师通过邮件向ASF报告了Log4j漏洞，该事件轰动了整个互联网中关注网络安全的人。之所以这个事件影响广泛，是因为Log4j是一个基于Java的开源日志框架，用于收集和管理有关系统活动的信息。自1999年该框架问世以来，它逐渐成为软件开发中广泛使用的构建模块，已被全球的开发人员集成到数千个软件包中，得到了非常广泛的应用。Log4j漏洞的发现引起了人们对开源软件安全的忧虑。

Log4j事件在那一夜间让无数使用这个软件库的软件行业公司突然显得“不设防”，充满各种不同的漏洞。作为安全行业的领导者，JFrog必须在客户没有受到明确通知的情况下，帮助他们进一步实现升级，并且为这些库的漏洞带来安全的缓解措施。

JFrog首席信息官Aran Azarzar表示：“作为安全行业的领导者，JFrog必须在客户没有受到明确通知的情况下，帮助他们进一步实现升级，并且为这些库的漏洞带来安全的缓解措施。”

正是Log4j事件带来的启发让JFrog考虑建立一个统一的软件供应链管理平台来保证流式软件的安全。如今，互联网的发展让各行各业都进入到流式软件的世界。所谓流式软件即是软件更新频率达到每周乃至每日更新，不再存在传统的软件版本迭代和更新。这意味着现在的开发运维不再是依靠传统的开发团队来负责产品生命周期的管理和IT布局，而必须要负责产品安全性的工作。所以，软件的安全性越来越重要。JFrog的平台不仅解决了更新和部署CI/CD（持续集成和交付部署）的问题，也统一了开发运营和安全性。此外，为了应对人工智能的兴起，JFrog也在平台上加入了管理AI和ML模型的功能。

集开发、运维和安全为一体的平台

开源是现在软件发展的必然选择，这表示一段软件代码可以从任何公共存储库里获取，或者这些公共存储库本身也是在生成代码的。那么面对这些开源的代码库，如何做好软件供应链管理的安全呢？在这个过程中，就必须有一个完整的端到端的平台，能够为整个过程提供全生命周期的支持。

“开发、运维和安全本身是同一体，在开发运维和安全性合二为一的过程中，作为一家公司的CIO，我相信安全仍然是我工作过程中的重中之重。”Aran Azarzar这样说道。

除了在安全性上得到保证之外，通过JFrog的平台，企业运维人员不再需要将二进制制品和源代码进行本地储存，他们使用JFrog的平台以单一存储库就能完成开发的过程。相比于传统的方式，不仅缩短了开发时间，也减少了出现错误，产生漏洞的概率。因此，采用JFrog的解决方案，既可以满足业务发展的规模需求，同时也能够更好地支持整个开发过程。

正如一位JFrog用户所说，“软件供应链作为一个概念在不断发展。JFrog为我们的源代码提供了很高的弹性，而这是其他供应商无法提供的。”而这能为他人所不能，正是JFrog的成功秘诀。