Top
首页 > 正文

管理、安全二合一,JFrog Curation助力解决开源软件安全治理难题

JFrog Curation将助力企业降低安全风险,提升DevSecOps运营体验,实现成本节约。
发布时间:2023-12-13 16:44        来源:赛迪网        作者:赛迪网

【赛迪网讯】在开源和软件定义的时代,软件是企业业务提升的重要基础,也是企业的一项重要资源。如何管理好这些软件,对一个要快速适应市场变化的企业,尤其是对互联网技术非常依赖的企业是必不可少的一个能力。面对越来越复杂的软件工具和庞大的软件资产,这就需要运用一些便利的软件管理工具来辅助。

近日,JFrog发布了全新产品JFrog Curation,致力于为企业软件工程师和开发者提供可靠的开源软件来源,以优化DevSecOps运营体验并实现成本节约。这一产品发布之际,正是开源软件安全问题愈发严峻之时,因此具有重要意义。

开源软件的安全治理难点何在

开源软件的安全治理一直是业界关注的焦点。随着开源软件使用的不断增加,针对其的攻击也开始激增,企业的开发者们面临着诸多新的挑战。以NPM为例,CVE开源组件的漏洞信息数量和针对NPM恶意软件包的攻击数量都在逐年逐月增长。据数据显示,2023年上半年针对NPM恶意包的报告超过6000个,这一数字令人触目惊心。

黑客的攻击手段也日益狡猾。他们常常利用Hugging Face等开源网站,这些网站上存储了大量由各行各业的公司贡献的开源模型。任何人都可以注册账号,在网上上传、下载别人编辑过的模型文件。黑客便利用这一便利性,投毒于模型中,通过潜藏在软件包里的木马达到窃取信息的目的。

面对这样的安全形势,JFrog Curation应运而生。该产品为企业提供了一个可靠的开源软件平台,帮助开发者筛选和获取安全的开源组件,从而降低潜在的安全风险。通过JFrog Curation,企业可以更加高效地进行DevSecOps运营,提升开发效率,同时实现成本节约。

JFrog大中华区总经理董任远在接受赛迪网采访时表示:“我们非常高兴推出JFrog Curation,这款产品将为企业提供更安全、更高效的开源软件解决方案。我们希望通过这一产品,帮助更多企业解决开源软件安全治理的难题,推动整个行业的健康发展。”

JFrog提供全语言制品库,这就是DevOps Platform。它支持各种各样的语言开发包,是全球第一个支持所有开发语言的软件制品库管理平台,目前也只有JFrog能够集成将近三十种左右最先进的开发语言。董任远强调,这正是JFrog的产品优势所在。但优势也意味着JFrog的DevOps平台必须要具备更强的安全扫描能力,否则如果不能为客户提供可信的软件,这种应用范围很广的软件管理平台就对企业没多大意义。

合二为一的应对之道

此前,JFrog的软件管理产品有两大核心功能,包括侧重软件管理的和针对安全防护的。董任远介绍,前者以JFrog Artifactory和JFrog Distribution为代表,进行版本的上传和分发,这两个组件能够实现版本的内部管理和异地分发。后者以JFrog XRAY为代表,用以扫描开源软件有没有合规性的问题。

从去年开始,软件安全成为了JFrog的CIO们关心的首要问题,2023 年第二季度中,五大软件支出优先事项中的四项都与安全相关。于是,将JFrog的软件管理和软件安全合二为一就成为了一项重要工作,最后就诞生了最近发布的新品JFrog Curation。

JFrog Curation的发布对于解决开源软件安全治理难题具有重要意义。通过提供可靠的开源软件来源,该产品将助力企业降低安全风险,提升DevSecOps运营体验,实现成本节约。

JFrog Curation的几项重要功能

JFrog Curation支持开发者在流水线扫描,这项新功能在代理仓库进行扫描,不同于以往JFrog XRAY在开发者的工具IDE里面进行的扫描。当用户尝试使用一个新版本的开源组件时,JFrog Curation会查询漏洞库以确定该版本是否存在已知漏洞。如果发现漏洞,下载请求将被阻断,管理员将收到通知。目前,业界仅有JFrog Curation能够实现从远程仓库进行阻断的功能。

此外,JFrog Curation还提供了名为CATALOG的功能,支持NPM、Python、Docker、Maven四种语言仓库,并计划支持NuGet、Go等更多种语言。CATALOG相当于一个软件包的Google搜索,使程序员能够轻松在内网中找到所需的软件包,无需浏览各种官方网站。此外,CATALOG确保搜索到的软件包没有问题,从而为用户提供了一个可信且便捷的开源软件依赖库。这是业内大部分扫描工具尚未实现的功能。

JFrog Curation还有一个功能是对之前的JFrog XRAY的二进制扫描功能进行了升级,提供了JFrog SAST(静态应用程序安全测试)功能。这项功能帮助开发者在自己的开发工具里直接进行代码扫描,并在发现漏洞时立即修复。

在销售策略上,JFrog去年开始进行调整,以满足从头部客户向中小客户下沉的需求。据透露,JFrog从直销模式转变为开拓更多合作伙伴分销的模式,目前合作伙伴已覆盖北京、上海、广州、深圳、香港、台湾等多个地区。

从客户的角度来看,JFrog能够适应日益复杂的软件管理局面并不断赢得用户的青睐,是因为它集成了更多的语言和功能。这种优势让JFrog像一只不断跳跃的青蛙,在数字时代一步一个脚印地跳上越来越高的平台。

关键词阅读:

JFrog 开源软件 安全 Curation

延伸阅读

每日必读

专题访谈

合作站点