（文/赵法彬）传统的软件开发到交付中间会有很多环节，比如开发、测试、运维、数据中心、设备，通常每个环节都要有不同的工作流程，那么如何让这些工作流程更加顺畅呢？这就是JFrog的使命。日前，JFrog大中华区总经理董任远通过网络与媒体交流时表示，公司名字叫做JFrog，是与青蛙有关，公司当时的创始人希望公司能够像青蛙一样不停地向前跳跃，因为青蛙只会向前跳，而且通过不断的跳跃完成一次次升级。在此基础上，JFrog也加载了一些新的安全上的功能，可以使工作人员第一时间检查到软件有哪些漏洞和不安全的因素。

帮助用户实现快速安全的软件发布

JFrog中国技术总监王青告诉记者，JFrog提供的是全语言制品库，也叫DevOps Platform。它支持各种各样的语言开发包，是全球第一个支持所有开发语言的软件制品库管理平台，目前只有JFrog能够集成将近三十种左右最先进的开发语言，这也是为什么有很多高科技互联网公司都在用我们的产品。JFrog在整个DevOps生态扎根非常深入，包括Jenkins、各种CI/CD工具都集成。因此，在现有的企业中，无论使用了什么样的DevOps流水线都能无缝集成到系统里来，帮助用户实现快速的软件发布。

JFrog中国技术总监王青

JFrog提供了业界首款端到端的加速软件安全的构建发布平台，该功能称为Curation，自带开源软件目录CATALOG，同时支持了SAST，对现有XRAY漏洞扫描进行功能补全。王青表示，JFrog也发布了首次面向Hugging Face的原生集成，通过Artifactory就能实现对Hugging Face远程登陆下载及模型的上传。

我们在开发者遇到一些新的挑战中发现，开发者在过往仓库里有可能泄露一些密钥信息。王青介绍说，JFrog对互联网上将近400万个包进行了扫描，最后超过25万个TOKENS被我们检测到了，这意味着在互联网NPM等仓库存在大量的TOKEN泄露，这是很多企业没有发现的未知的数据，因此，需要在企业内部排查一下员工有没有在不知情的情况下泄露一些密钥到公网仓库。除了密钥泄露，另外一个新型攻击方式是通过机器学习模型进行投毒。在大模型社区有一个非常著名的网站叫做Hugging Face，这个网站上存储了大量由各行各业、各公司贡献出来的一些开源模型，任何人都可以注册账号在网上上传模型，任何人也可以下载别人编辑过的模型文件。有的黑客就利用模型下载的随意性进行投毒。黑客可以将恶意代码注入到大模型里，来调用本地的资源机程序。通过这种隐藏非常深的方式来实现基于大模型的投毒。这种攻击方式是防不胜防的，开发者非常难发现并且意识到他被攻击。JFrog管理了企业内部所有的软件包，同时也可以做安全扫描。只有当拥有包管理权之后才能对它进行安全治理，因此，JFrog的这种方式弥补了现有很多安全扫描工具的很大的痛点。

面对各种各样的制品管理安全挑战，很多企业都缺乏统一管理制品的平台和统一进行扫描的能力，此时就需要JFrog来提供帮助。王青说，我们做的主要是两大核心能力，一是制品的管理，包括Artifactory和Distribution，进行版本的上传和分发，这两个组件能够实现版本的内部管理和异地分发。第二个核心功能是和安全相关的Artifactory，JFrog XRAY加我们的高级扫描，XRAY是专门扫描开源软件有没有一些合规性的问题，包括安全性的问题。这些核心能力也是很多企业的刚性需求，只要有研发团队就需要这样的能力来保驾护航。

在DevOps和安全合二为一如何融入起来，这是很多企业面临的挑战。很多企业买了很多安全扫描工具，但安全人员发现这些安全扫描工具无法和DevOps流程结合起来，甚至安全工具的扫描阻止了DevOps流程的快速发布。王青说，为了解决这一挑战，我们发布了很多新功能和新产品，JFrog Curation就是其中的杰出代表。怎样把扫描左移到最左侧，这就需要支持开发者在流水线扫描，JFrog Curation做的是在代理仓库这一层扫描，即用户在尝试用一个新的版本的开源组件时，JFrog Curation会通过漏洞库查询这个版本有没有发现过漏洞，如果有，下载请求会被阻断，管理员也会收到通知。这是业界领先的，可以在远程仓库进行阻断的，目前仅有JFrog能够实现的功能。

Curation产品包含另外一个功能叫做CATALOG。目前JFrog扫描了互联网上大概400万个包，这里面是支持四种语言仓库NPM、Python、Docker、Maven，后面还将支持像NuGet、Go等多种语言。只需在JFrog CATALOG从内网里就可以搜索，搜索以后发现没有问题再下载，下载的版本都是可信的，可以从源头上保障软件安全，这是因为我们给用户提供了一个可信的开源软件依赖库。未来会提供一个很好的功能叫做私有目录，该功能可以把审批过的版本保存在企业内部变成一个私有仓库供大家使用。

JFrog SAST（静态应用程序安全测试）是对JFrog XRAY之前二进制扫描功能的补全。在现有的XRAY扫描提供了上下文分析、密钥监测、配置检查、容器的检查，新增功能是静态应用程序检查。能够帮助开发者在自己的开发工具里面直接进行代码扫描，有漏洞，开发者自己就可以发现并且立刻就能修复了。王青还透露，对于大家关注的AI和ML，JFrog第一时间做了Hugging Face仓库的支持，并且能够扫描Hugging Face仓库中的License是否合规。在未来，我们首先会对软件供应链整个链条上的安全能力、安全组件、包括license信息进行分析。其次会对供应链里面的一些高级的攻击行为进行捕捉，比如密钥泄露，基于上下文的分析，来精准识别供应链攻击对你是否可用，提供精准打击精准扫描的能力，帮助用户极大地减少修复“假阳性”漏洞的行为，从而节省开发者修复漏洞的成本，核心就是为开发者运维服务，把他们的工作量专注于他们的业务上，而不是修复一些“假阳性”的漏洞上。

不断加大对中国市场的投入

董任远介绍说，在和中国合作的时候，我们发现中国市场非常特殊。这里有不停地突飞猛进的本地的技术，有中国的芯片、有中国的操作系统、有中国各种各样的软件。JFrog作为仓库来说要跟供应链上的各个环节都要进行打通、进行连接，所以对于中国技术的支持是尤为关键的。我们秉持着“In China, For China”，加大了研发，加大了技术团队，希望能够帮助中国的客户建设一种有中国特色的软件制品管理的模式。从商业上来说中国客户看重私有化部署，都是把我们的软件放在他们的私有云或他们自己的数据中心里。从全球的趋势来说，JFrog的产品通常是部署在云上，客户无论在哪儿都可以ISS他们自己的制品仓库。随着中国很多企业要走出去，未来我们可以帮助很多中国客户能够进行全球的战略部署。无论是有在非洲的研发、欧洲的研发、美洲的研发都能够通过统一制品库把它们连接起来，这是我们判断未来商业方面的一个趋势。

JFrog大中华区总经理董任远

我们在中国的业务是一个平台，即JFrog的平台，其中有七个核心产品。董任远认为，大家最关心的有两个核心产品，一是制品库，二是XRAY新的功能，今年又新加了一些产品，丰富了产品线。同时，我们在中国大陆有300家客户，算上港台有将近500家客户；合作伙伴超过30家，涉及北、上、广、深、港、台。

JFrog中国业务2023年增长非常快，比2022年超过了一倍。我们在中国发展势头非常好，同样做了很多产品与渠道的调整，相信2024年会保持一个高速的增长，这是因为客户对数字化转型的需求大大增加，同时客户也都意识到公司的软件资产是核心资产，他们需要一个制品库来帮助管理、运维他们自己的核心资产。

董任远告诉记者，JFrog在全球的销售策略一直是以直销为主，即直接面对用户。但是，由于快速发展，未来要想继续从头部客户往中下线中小客户来做迁移的话，肯定需要更多的合作伙伴来支持我们。在今年渠道大会上也颁布了新的渠道政策，希望更多的渠道伙伴能够加入到我们的业务当中。在中国，从2022年初开始就做了一项调整，由原来单一的渠道合作伙伴变成了多地域、多伙伴的模式。我们在中国的北京、上海、广州、深圳、香港、台湾地区都有本地合作伙伴，由原来一家合作伙伴变成了多家。同样在全球来说，我们希望能够把中国的这种经验拷贝到全球，让更多的合作伙伴参与到我们的业务当中。JFrog希望能够和所有合作伙伴协作共赢，所以对合作伙伴没有任何的区分，只要愿意投入、愿意合作，我们都欢迎。同时，不用担心技术资源，不用担心客户要求，比如要做一些POC、测试，这方面的能力会由JFrog提供。我们希望在培训客户的时候也能够把合作伙伴培养起来，将来能够自己独立的完成跟客户的交流以及测试。未来，我们也给代理商合作伙伴进行了很好的规划。

董任远表示，JFrog对于中国市场要加大投入，中国市场是全球最大的开发者社区，也有我们有最大规模的开发团队。2022年JFrog正式进入中国以来，我们不停地在加大投入本地的技术支持、本地的研发、本地的售前。在技术上的投入同时，在合作伙伴和销售上也增大了团队。JFrog去年一年在中国主要完成商业模式转化的过程，从单一的代理商模式到多个合作伙伴支持，同时，在技术方面是加大了投入，加大了本地的研发以及跟合作伙伴共同创新的能力。过去一年还完成了很多跟中国软件、硬件的交互式的认证，我们也都拿到了中国的各种证书，以满足中国市场的需求。因此，一是合作伙伴上我们有突破，二是在技术上也有突破，这些都是一个里程碑式的进展。董任远强调，在中国我们是无差别的对待所有的合作伙伴，只要是合作伙伴带来对于JFrog技术感兴趣的客户，我们就会帮助客户进行规划，同时在给客户进行培训POC测试的同时，也给代理商合作伙伴以技术能力的支持。明年也会跟合作伙伴看看怎样进一步提高他们的技术能力，能够做一些增值的技术支持。同时，也能够让他们有这种本身能够做一些培训的工作，帮助JFrog去照顾好我们共同的客户。所以，我们希望建立的是一种双赢的解决方案。

JFrog在中国的业务是蓬勃向上的，相比去年、前年都有一个突飞猛进的提高。董任远介绍说，使用JFrog的软件能够大规模的节省客户运维成本以及交付能力，满足了现在客户对于怎样能够用耿绍的资源提高效率的需求。同时，在中国我们有最大的开发社区，有最庞大的技术人员，软件工程师。同样，中国的技术在不停地上升，这对JFrog都是需求，我们肯定也会继续加大投入。对未来一年我是非常乐观的，我们完成了所有最基本的工作，未来可能会面临的是一个非常高的增长，怎样维持这种高的增长，这是我们要面对的问题。