2023年12月5日 —— 流式软件公司、企业软件供应链平台提供商JFrog发布新功能,为软件发布的质量、安全性、MLOps 和完整性设定标准。从创建到生产,JFrog 平台在软件开发生命周期的每个阶段都注入二进制级别的安全性,以确保应用程序的可追溯性、可靠性、合规性和安全性。
JFrog 联合创始人兼首席执行官 Shlomi Ben Haim 表示:“JFrog 一直战略性地进行大力投资,开发全面的、以 DevOps 为中心的安全解决方案,旨在应对未来的威胁。在二进制层面,JFrog独特地实现了 DevSecOps 流程的自动化,我们的客户证实这是保护其软件供应链的最有效方法。整个行业一直都在奋力抵御攻击者,而JFrog 更是不断地推出超越其他全球供应商的新功能。目前,JFrog 为客户提供的保护范围涵盖开源和第一方代码、机密检测、IaC 安全和OSS软件包的创建,如今还引入AI 和 MLOps 安全性、缓存和保护客户的ML模型。得益于 Artifactory 的领先地位,JFrog凭借控制二进制制品的独特能力而脱颖而出。”
JFrog软件供应链平台的新功能将持续满足客户对全面的、以DevOps为中心的安全性和自动化的需求,从而推动真正的左移战略。这些功能包括:
● AI 和 ML 模型安全性:JFrog的全新 ML 模型管理功能可快速扫描和检测恶意机器学习模型,在需要之时阻止其使用,并确保许可证符合公司政策,从而更安全地使用 AI。JFrog ML 模型管理功能的测试版现已面向 JFrog Cloud 客户推出。
● 静态应用程序安全测试(SAST):与多种开发环境无缝集成,帮助客户快速准确地扫描源代码中的零日安全漏洞。JFrog SAST 还可以通过上下文分析来减少误报,帮助确定问题的优先级并采取纠正措施。
● 开源软件(OSS)目录:作为 JFrog Curation的一部分,该目录在 JFrog UI 中或通过 API 提供一个“软件包搜索引擎”,该搜索引擎由公共数据和 JFrog 数据提供支持,帮助用户能够立即了解与所有OSS软件包相关的安全和风险元数据。
JFrog Security 首席技术官 Asaf Karas 表示:“随着软件供应链攻击的惊人增长,在二进制层面上使用不可变的软件发布包来确保安全变得至关重要,因为这是证明您发布的软件可以安全使用的唯一方法。提供一个全面的平台,既对开发人员友好又适用于企业,在每个阶段都考虑到安全问题,并由一支始终关注新兴威胁的安全研究专家团队提供支持,我们就能更好地为公司提供安全保障,助力更快创新,并让他们了解其软件在当下和未来都能够安全使用。”
JFrog平台的每个组成部分都由一支专业的安全工程师和研究人员团队提供支持,他们积极调查、分析并揭露新的漏洞和攻击方法。所有新的DevSecOps功能都建立在JFrog已非常强大的安全产品基础之上,旨在提供一种全面、持续的方法,在软件开发和交付的各个阶段自动保护二进制制品的安全,包括:
● JFrog Curation通过全新 OSS 目录功能,帮助企业防止恶意软件包或漏洞进入其开发环境。
● JFrog Xray,用于在部署前主动检测有风险的软件包。
● 具有上下文分析功能的 JFrog Advanced Security可在软件投入生产后帮助快速评估关键漏洞和密钥暴露,以便及时执行修复工作。
在详细介绍 JFrog 平台全新安全功能的同时,公司还发布了全新 DevOps 功能,包括
● Hugging Face本地存储库 —— 与常用AI存储库Hugging Face的原生连接允许Python开发人员和数据科学家轻松代理和缓存其所依赖的开源AI模型,防止删除或修改。
● ML 模型管理:使AI模型开发与企业现有软件流程保持一致,以加速和管理 ML 组件的持续交付。
● 发布生命周期管理(RLM)能力:在软件开发生命周期的早期创建不可更改的“发布包”,定义软件包及其组件,为每个应用程序提供单一的真实来源。JFrog RLM 还使用防篡改系统、合规性检查和证据捕获,在开发的每个阶段收集有关每个发布捆绑包的数据和洞察,以提高每次构建质量的透明度,并可轻松地与 DevOps、IT 和安全领域的多方利益相关者共享。
IDC DevOps 与 DevSecOps研究副总裁Jim Mercer表示:“IDC最新关于DevOps的调研《DevOps 实践、工具和认知调查》显示,平台正被更广泛地用于提高生产力、安全性和协作性。此外,随着企业持续进行左移,更多工作将交给开发人员和DevOps团队,他们可以通过为DevOps和平台工程师提供一个能够简化开发和安全流程的集成平台来加速这一转变,从而帮助企业进行可信软件的交付。”
