從本土化到安全發(fā)展，軟件供應鏈如何與時俱進？

JFrog及其打造的全球性的全語言開發(fā)運維平臺，服務了全球約7400家客戶。它致力于創(chuàng)造一個從開發(fā)者到設備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應鏈平臺是統(tǒng)一的記錄系統(tǒng)，能夠幫助企業(yè)快速安全地構建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。在數字化轉型趨勢下，JFrog近年來在全球實現了25%的業(yè)務增長，其中，中國是亞太區(qū)增長最快的區(qū)域。

日前，JFrog大中華和日本地區(qū)總經理董任遠和JFrog(中國)技術總監(jiān)王青接受了<與非網>等媒體采訪，就軟件供應鏈發(fā)展現狀、最新的安全研究調研以及JFrog在中國市場的發(fā)展與行業(yè)展望進行了深入交流。

致力于適配國產化基礎架構

據董任遠介紹，在中國和日本，JFrog服務超過500家主要頭部品牌，包括83%以上的財富100強企業(yè)，客戶主要集中在金融、制造業(yè)和互聯網行業(yè)。特別是在金融行業(yè)，JFrog提供了高性能和高可用性的解決方案，能夠滿足關鍵業(yè)務開發(fā)的需求。隨著中國互聯網行業(yè)的持續(xù)發(fā)展，JFrog也對頭部品牌提供了良好的支持。

在中國，JFrog采取"in China, for China"的戰(zhàn)略，致力于適配中國市場日益增長的國產化基礎架構產品，如芯片、服務器、數據庫和中間件。過去一年，JFrog完成了全線產品對國產信創(chuàng)產品的適配，并已有客戶將JFrog產品應用于信創(chuàng)環(huán)境。針對中國市場特有的行業(yè)發(fā)展需求，JFrog提供產品優(yōu)化和定制化支持。

他表示，JFrog在中國市場的快速增長主要體現在兩個方面：新業(yè)務增長和傳統(tǒng)業(yè)務增長。新業(yè)務增長主要源自汽車行業(yè)，尤其是新能源車領域的快速發(fā)展，JFrog為這些企業(yè)提供了適應其開發(fā)運維平臺的解決方案；傳統(tǒng)業(yè)務增長則來自于金融、制造等行業(yè)的企業(yè)出海，JFrog幫助這些企業(yè)實現全球化的開發(fā)運維部署。

面對中國市場的獨特需求和挑戰(zhàn)，JFrog采取了本地化策略和發(fā)展規(guī)劃。由于中國客戶傾向于使用私有化部署，尤其是在國產化的私有云解決方案上，JFrog對產品進行了調優(yōu)和測試，以確保在國產CPU、數據庫、服務器和操作系統(tǒng)上能夠順暢運行并發(fā)揮最高性能。此外，JFrog還支持金融等行業(yè)客戶將開發(fā)運維平臺遷移到信創(chuàng)環(huán)境，幫助他們完成相關部署。

全球軟件供應鏈安全挑戰(zhàn)及趨勢

為了加強行業(yè)對軟件供應鏈安全重要性的認識，并提供對軟件供應鏈管理的深入見解，JFrog Research團隊近期發(fā)布了一份全球軟件供應鏈發(fā)展報告。該報告基于安全團隊的CVE分析和對1224名安全、開發(fā)、運維人員的第三方調研。報告主要包含四大核心點：

第一，軟件供應鏈的構成。報告分析了AI的崛起對供應鏈的影響，以及多種開發(fā)語言和容器化技術成為主流的現狀。第二，隱藏的風險。報告中探討了使用多種語言包時可能遇到的挑戰(zhàn)，如開發(fā)者密鑰的安全、漏洞爆發(fā)對應用的影響，以及前后端漏洞影響范圍的區(qū)別。第三，如何面對已知安全風險。該報告基于用戶訪談，展示了自動化在安全修復中的應用比例，以及企業(yè)在安全修復上所花費的時間和成本。第四，AI的涌入。報告分析了企業(yè)對AI應用的理解程度和接受度。

針對這些核心點，王青分享了一些關鍵發(fā)現：

首先，根據JFrog Catalog產品的數據調查，大多數企業(yè)已經采取了措施來監(jiān)測和管理開源軟件包的安全問題。其中，92%的專業(yè)人士認為他們的企業(yè)至少有一個監(jiān)測惡意開源包的解決方案，89%的受訪者表示已經采用了谷歌主導的OpenSSF SLSA框架（這是一個國際廣泛接受的軟件供應鏈安全標準）。在開發(fā)人員中，42%認為最好在代碼編寫期間執(zhí)行安全掃描，48%的受訪者在代碼掃描時進行手動檢查代碼，而非自動掃描。只有1%的受訪者實現了代碼審查完全自動化。

一個行業(yè)痛點值得關注：約25%的安全團隊花費大量時間修復可能被過度評估或不適用于他們應用的漏洞，導致許多開發(fā)人員將寶貴的時間浪費在修復不必要的漏洞上，而非從事能夠提升商業(yè)價值的工作。

第二，在安全實踐方面，59%的企業(yè)在構建時進行安全掃描；靜態(tài)應用程序安全測試（SAST）是最常用的解決方案，占61%。

動態(tài)應用程序安全測試由于耗時比較長，有58%的公司進行這一安全測試；同時，軟件構成分析的測試占比58%，得益于掃描快速，這個數字提升潛力巨大，包括JFrog本身就能做軟件構成分析的掃描；56%的企業(yè)實現了API安全掃描。

第三，漏洞影響方面，JFrog安全團隊對85%的嚴重CVE和73%的高危CVE進行了評級下調，幫助研發(fā)團隊避免關注虛高的漏洞分數。同時，JFrog可以對漏洞進行上下文風險分析，確認許多漏洞的評級可以下降，從而節(jié)省開發(fā)者的時間。在Docker Hub中分析的100個最受歡迎的鏡像中，74%的CVE漏洞實際上不可被利用，意味著這些漏洞可以被忽略。

第四，在AI/ML工具的使用方面，90%的受訪者表示他們的掃描工具支持AI，32%的企業(yè)使用AI工具如Copilot協(xié)助代碼生成，但同時也意識到使用AI/ML工具可能帶來的風險，如惡意訓練和植入惡意包的問題。

對區(qū)域市場安全實踐的展望

王青分享了不同區(qū)域的安全解決方案使用情況：

在印度，65%的受訪者使用十個或更多的安全解決方案。相比之下，中國、法國、德國、以色列和英國的受訪者中約有一半使用六種或更少的應用安全解決方案，表明這些地區(qū)傾向于使用統(tǒng)一平臺進行安全掃描。

漏洞修復時間方面，54%的印度受訪者指出，開發(fā)人員通常每月花費一周或更長時間修復漏洞。

對AI和ML的采用態(tài)度方面，法國和英國的受訪者表示，他們最不可能在軟件開發(fā)過程中使用人工智能和機器學習技術。

Docker Hub遭受協(xié)同攻擊，JFrog和Docker聯手采取緩解和清理措施

JFrog還與Docker聯合進行了一項調研，發(fā)現Docker Hub遭受協(xié)同攻擊，被植入數百萬惡意存儲庫。

Docker Hub作為一個為開發(fā)者提供多樣化功能的平臺，為Docker鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前，它是全球開發(fā)者首選的頭號容器平臺，托管著超過1500萬個存儲庫。

JFrog通過分析Docker Hub的存儲庫發(fā)布模式，識別出了異常行為，并發(fā)現約460萬個無鏡像存儲庫中的281萬個與這些惡意活動有關。Docker Hub迅速響應，下架了所有被標記為惡意的存儲庫。

JFrog的發(fā)現和Docker的快速響應凸顯了持續(xù)監(jiān)控公共平臺的重要性，雙方提醒用戶在使用這些平臺時要保持警惕，為了防范類似攻擊，用戶應優(yōu)先使用Docker Hub中標記為“可信內容”的鏡像，并注意官方鏡像標簽、已驗證發(fā)布者和贊助OSS標簽。

中國市場的挑戰(zhàn)和前景

談及中國市場的發(fā)展和規(guī)劃時，王青從軟件供應鏈安全角度進行了分享：首先，未來的軟件供應鏈將趨向集中化，不再需要為每種語言單獨采購掃描工具，而是實現全語言的集中式掃描；其次，鑒于互聯網企業(yè)頻繁的版本發(fā)布，漏洞掃描必須高效快速，以適應快節(jié)奏的研發(fā)需求；第三，企業(yè)需要適配如SLSA等安全等級標準，確保軟件發(fā)布處于行業(yè)領先地位。

董任遠認為，中國市場跟其他市場的主要區(qū)別在于擁有很多國產新設備。過去幾年，中國在技術創(chuàng)新上有很多的突破，無論是硬件、軟件等，涌現出很多國產化需求。因此，JFrog在適配中國客戶需求的過程中，需要保持多樣性以及最大范圍的兼容。同時，JFrog也針對中國客戶需求進行了優(yōu)化，確保無論使用何種硬件或軟件平臺，客戶都能獲得最大化的性能和效率。