今天，在Devops软件开发公司JFrog(捷蛙科技)的在线媒体交流会上，JFrog大中华区总经理董任远、JFrog中国技术总监王青详细讲解了JFrog推出的一系列新功能和工具，针对企业在产品管理和安全方面遇到的挑战。

JFrog提供了业内第一个端到端加速安全软件建设的发布平台基于这个大平台，JFrog拥有7个核心产品，包括JFrog Artifactory、Distribution、JFrog Xray和JFrog Advanced Security等。

其中，Curation功能有自己的开源软件目录；SAST支持静态代码扫描，并补充现有漏洞扫描的功能；并首次发布了Huging Face原生集成存储库王青告诉智能事物，传统的安全扫描是谁拥有更大的漏洞库、更完整的扫描和更快的速度。

JFrog的安全扫描是降维打击JFrog在产品库层面进行安全扫描，Devops与安全信息相结合JFrog在产品管理和安全控制方面的一大优势就是做上下文分析王青说，此外，假设Java项目中引入了漏洞包，但在Java代码中没有调用，传统工具会扫描包中有漏洞，需要开发人员修复，但开发人员会发现没有调用代码，这将增加扫描的无效成本。

JFrog的高级扫描套件可以根据引用漏洞版本进行代码反编译，找出哪个代码行调用了漏洞包，从而降低了开发人员修复假阳性漏洞的成本JFrog命名的起源是，创始人希望该公司能像青蛙一样向前跳跃，并在每次跳跃中完成技术升级。

JFrog需要做的是创建从开发人员到设备的软件交互环境，包括开发、测试、操作和维护、数据中心和设备的每个过程，使这些工作过程顺利进行，即流动软件JForg拥有7200多名客户，覆盖全球90%以上的100强客户，中国约有400-500名客户。

I.世界上第一个软件产品库管理平台检测到超过25万tokens泄漏JFrog是世界上第一个支持所有语言的软件产品库管理平台，集成了近30种先进的开发语言JFrog中国技术总监王青表示，市场上只有JFrog能够支持全语言开发者所需的软件包管理平台。

开发者在工作中会遇到很多新的挑战，比如每月CVE(通用漏洞披露)的数量在增加针对NPM恶意软件包攻击数量，王青透露，根据NPM恶意软件包报告数据，2023年上半年攻击数量已超过6000次与此同时，他表示，JFrog管理企业内部的所有软件包，因此最适合为企业制作软件包管理日志并完成安全扫描。

JFrog弥补了现有安全扫描工具的痛点JFrog在开发人员面临的新挑战中发现，开发人员很可能会在公共存储库中泄露秘密信息例如，如果开发人员在公共存储库中泄露手机号码，互联网黑客可以窃取、登录或读取和修改源代码。

事实上，JFrog在互联网上扫描了近400万软件包后，检测到了超过25万tokens王青说，这表明互联网上的NPM仓库存在大量token泄露在这种情况下，企业需要尽快检查内部员工是否在不知情的情况下泄露了密钥信息。

另一种新的攻击方法是通过机器学习模型“投毒”人工智能开源社区Huging Face上有大量的开源模型，一些黑客会在二进制数据中隐藏恶意代码王青说，这种攻击是不可能预防的，开发者很难意识到它被攻击了二、两大核心能力配合Devops流程和安全扫描

面对各种产品管理和安全挑战，许多企业缺乏统一管理和扫描产品的平台和能力JFrog平台有两种能力，第一种是产品管理能力，其中JFrog Artifactory和Distribution可以进行版本内部管理和异地分发；二是JFrog的安全功能 Xray和JFrog Advanced Security，其中JFrog Xray专门扫描开源软件是否存在安全合规问题。

王青说，这两个核心能力也是很多企业的刚性需求从去年到今年，企业都在关注如何将Devops和Security结合起来许多企业购买的安全扫描工具不能与Devops流程相结合，甚至安全扫描工具也会阻止Devops流程的快速发布。

因此，如何更好地协调这两个要素是企业面临的一个重大挑战JFrog发布了一系列新功能、新产品，以解决这一挑战首先是JFrog Curation，开发人员通常将软件下载到公司内网，然后将版本上传到安全扫描工具中，以扫描漏洞。

在此链接中，安全扫描时间滞后因此，JFrog应向左移动安全扫描，支持开发人员在装配线和ADMIN进行扫描Curation的新功能支持开发人员扫描代理仓库，即当用户尝试使用新版本的开源组件时，JFrog工具将返回漏洞库查询该版本是否有漏洞。

如果是这样，下载请求将被阻止王青说，目前行业内只有JFrog能够实现远程仓库管理的功能第二个新功能是curation的另一个功能catalog王青说，这相当于谷歌搜索，为开发者创建了一个软件包当程序员下载第三方软件时，他们可以直接在内部网络上搜索，确认安全性和可用性，然后下载。

他们提供可靠的开源软件库，以确保软件从源头上的安全他补充说，未来，JFrog还将提供私人目录的功能，即将企业批准的版本保存在内容中，形成私人仓库第三个新功能是JFrog SAST(静态应用安全测试)这个功能是JFrog Xray二进制扫描功能的完成。

现有的Xray扫描提供了上下文分析、密钥检测、配置检查和容器检查SAST是一个新功能SAST可以帮助开发人员扫描自己的开发工具中的代码，开发人员可以快速发现和修复漏洞JFrog还将为开发人员提供修复漏洞的代码片段。

最终，JFrog在AI和机器方面进行了Hugging Face仓库支持企业需要从Hugging开始 Face下载基本大模型进行微调，基于对象存储等大模型管理模式，会导致大模型文件容易被误删或覆盖王青透露，JFrog Artifactory是第一个出身，官方支持Huging Face仓库。

结论：数字化转型加快，产品库管理企业软资产越来越多的企业开始加快数字化转型董任远表示，如果企业有软件开发人员，他们必须对JFrog产品有需求在过去的几年里，许多企业正在进行数字化转型，从硬资产转移到软资产，这将带来越来越多的开发、运营和维护需求。

面向中国市场，JFrog根据企业需求调整了产品和渠道他补充说，JFrog的客户意识到公司的软件资产是核心资产，因此他们需要产品库来运营和管理这一核心资产此外，董任远表示，在商业层面，JFrog的中国客户采用私有化部署，而海外企业大多部署在云上。

下一步，如果中国企业开始扩大全球市场，JFrog可以帮助他们进行战略部署

来源：深易凡软件库