數字化轉型大潮之下,行業企業對于軟件應用的研發和迭代需求暴增,迫切需要DevOps工具提升交付效率,提高業務敏捷性。
據IDC預測:到2024年,全球將會有5.2億個軟件應用,超過60%的企業每天都會進行版本發布,而科技企業每天會有多個版本發布。從軟件交付的趨勢來看,一方面很多軟件都會發布到邊緣節點和邊緣設備上;另一方面,將來會有大量與容器相關的技術介入。
IDC指出:近年來,隨著DevOps工具和技術逐漸成熟,為企業的DevOps實施奠定了基礎。中國企業對DevOps總體呈現出積極擁抱、勇于嘗試的態度。
伴隨企業軟件應用數量的快速增長,軟件資產會越來越多,如何進行軟件版本的管理,如何對開發、交付、運維、安全等進行高效地協同管理,是IT部門面臨的一個難題。
JFROG——軟件制品領域的領導者
“JFrog的使命是創造一個從開發人員到設備之間暢通無阻的軟件交付世界,我們稱之為流式軟件。更準確的說,是做企業軟件資產管理倉庫。”JFrog大中華區總經理董任遠如是說。
JFrog成立于2008年,2020年在納斯達克上市,截止 2022 財年付費客戶有7200+,開源版本的用戶更是不計其數。
JFrog在軟件制品領域擁有絕對的領導地位,從JFrog的成績單來看:財富100強的企業中,有89%使用JFrog的軟件;從財報數據來看,JFrog在過去一年的營收同比增長高達35%;過去12個月的續約留存率達128%;從細分市場來看,全球Top10的科技公司都在用JFrog,全球Top10的金融公司也在用JFrog。
JFrog 平臺是面向企業開發者、運維人員、安全專員的企業通用軟件制品管理倉庫,支持了市面上主流的30種不同技術棧軟件倉庫以及二進制包的管理,并且可以輕松和各種CI/CD工具集成,在完整的軟件生命周期里管理二進制的構建信息,進行安全監控以及開源許可監控。
JFrog被認為是一個單一可信源的平臺,確保軟件交付的一致性和可靠性,所有的構建和部署必須通過這一個可信源來發布。JFrog Artifactory里面存儲了所有的軟件包、容器鏡像以及配置文件,被統一管理,根據需要進行發布。同時,因為由可信源發布出去,里面有很多DevOps信息,每一個環節都可以追蹤,更加可控。
上圖是JFrog軟件供應鏈管理平臺的整體構架。軟件在構建完成后通常會存儲在JFrog Artifactory制品倉庫里;接下來通過JFrog Xray和JFrog Advanced Security對制品倉庫里的相關存儲軟件以及二進制包進行安全檢測、漏洞審查;如果未發現安全問題,則通過JFrog Distribution分發到各數據中心(如兩地三中心)、云環境,甚至是混合云環境;最后通過這些環境,運用JFrog Connect技術發布到IoT設備上。JFrog Mission Control可視化平臺可監控JFrog平臺上的整個動態、工作負載和性能表現。
JFrog ARTIFACTORY的五大核心能力
作為JFrog DevOps 平臺的核心,JFrog Artifactory制品倉庫提供五大核心能力。
一是全語言、統一維護。代替 ftp、nexus、harbor、svn,JFrog支持30多種不同技術棧軟件倉庫,同時支持Docker鏡像。作為唯一可信源制品庫,JFrog Artifactory可對全語言配置文件進行統一管理,可大幅減少維護成本,《DevOps 成熟度》可達制品庫成熟度4+級標準。
二是高可用、0宕機。很多企業管理軟件涉及關鍵性業務,甚至是核心業務,絕不能出現宕機行為,因此高可用是非常重要的指標。JFrog 支持本地多活、雙活以及集群管理,同時也支持兩地三中心、不同的地域之間互為熱備份,可線性擴展,支持滾動升級,能夠保障開發和部署不間斷,運維不背鍋。
三是支持DevOps全流程的管理和元數據級質量度量。在JFrog 平臺上,每個環節都可以記錄其狀態,記錄軟件包關聯的Jira ID,包括構建信息、漏洞掃描結果、測試結果 等信息,提供豐富的元數據信息記錄。在軟件的整個流通環節中,所有信息都被傳遞,同時也可以被溯源,確保軟件質量與安全的可靠可信。
四是實時同步、快速發布。軟件構建完成后會分發到各個中心及邊緣節點,軟件每天的傳輸壓力是非常大的。JFrog具備多環境實時同步能力、按需或增量分發到邊緣節點的能力,支持P2P下載能力,面對上萬并發下載的場景,可以做到基于checksum去重,只傳輸新增的部分,從而節省帶寬和流量,解決多地團隊制品協同管理問題,加速制品分發。
五是開源合規檢測。如今,很多軟件在開發的過程中會引用開源組件,這會帶來一定的開源合規風險。外來組件中可能存在漏洞或惡意代碼,JFrog通過進行開源掃描識別高危漏洞包,向用戶提示潛在的風險,阻止受染的包上線;同時也可檢查企業內部是否有不合規的開源許可,減少排查漏洞的人工成本,減少漏洞、使用場景不合規等情況所帶來的不可估量的損失。
董任遠介紹:JFrog制品倉庫中存儲了Devops數據的存儲庫,在統一管理企業二進制軟件資產的前提下,通過與企業交付流程中不同工具鏈的集成,收集軟件生命周期中的各類信息,對原本不透明的二進制制品進行管理,提供豐富的元數據信息記錄,確保軟件質量與安全的可靠可信。
JFrog支持所有主流的通用技術棧,支持無限擴展,可以自如應對各種復雜的開發場景,支持高達上萬人的開發團隊規模。JFrog既有單機版產品,也支持復雜集群,JFrog在中國的客戶甚至達到了上百個集群的規模。同時JFrog具備多環境同步能力,支持對混合云、多云的統一部署,真正實現了軟件供應鏈端到端的管理。
落實安全左移 實現端到端軟件供應鏈安全
針對安全左移、DevSecOps等發展趨勢,JFrog提供兩大安全解決方案:一是JFrog Xray,可以實現軟件SCA、安全左移,風險阻斷以及開源治理等功能;二是JFrog Advanced Security,它在安全掃描領域進一步加強,可對上下文進行安全風險分析,風險檢測,惡意代碼管控等,可以判斷漏洞是否被調用,并給出相關安全提示,讓安全管理團隊可以盡早對潛在的安全風險進行管控。
同時,該方案還可以對源代碼進行掃描,能夠發現供應鏈預注入的惡意代碼,以及配置管理當中暴露的一些安全問題,例如糟糕的加密、操作系統問題、私鑰和憑證等。
JFrog作為一家軟件制品管理平臺供應商,披露漏洞對于社區而言意義重大。迄今為止,JFrog已向社區等組織發布了720多個漏洞報告,1300余個惡意軟件包報告,500余個0day漏洞報告,同時已發布了16款開源軟件安全工具,幫助社區對用戶開源軟件供應鏈風險進行掃描和防護。
JFrog披露漏洞,一方面幫助軟件開發者以及用戶了解相關的安全與威脅,從而避免和減少相關的安全風險;另一方面可以促進社區的共同關注、討論并解決問題,整體提高軟件的安全度、可信度以及可靠性。
董任遠強調:“JFrog有一個非常重要的能力就是跨環境多語言,我們在本地部署可以有多集群、跨區域、跨地域,同時也提供云解決方案,既有私有云方案,也有公有云方案,我們和AWS、微軟Azure、Google合作,同時我們還有SaaS版本,客戶根據需要可以到云平臺上購買相關的JFrog服務。”
聚焦中國市場 加大投入滿足中國客戶需求
據了解,JFrog早期通過授權方式在中國開展相關業務部署,伴隨數字化轉型提速,JFrog于2021年正式進入中國市場,至今在中國已有400家客戶。各行各業只要有軟件開發需求的企業,都是JFrog的潛在客戶,而那些在科技領域走得比較前沿的行業,以及行業中的頭部企業基本上都用了JFrog的解決方案。
董任遠提到,“JFrog非常重視中國市場,尤其在信創方面,最近我們一直在推進與中國本土操作系統供應商、本土芯片廠商以及本土數據庫廠商之間的相互認證,響應和滿足國家信創的要求。”
JFrog非常看重能否盡快滿足中國客戶對產品功能方面需求的能力。據悉,JFrog正在考慮加大中國市場的研發能力,以更好地滿足客戶的需求。同時,JFrog希望能夠擴展中小企業客戶,通過持續開拓合作伙伴,一起把優秀的解決方案交付給中國客戶,讓更多中國企業能借助JFrog的DevOps能力以及JFrog Artifactory加速軟件交付,深化數智轉型。
京公網安備 11010502049343號