（文/赵法彬）既要提高软件开发效率，又要确保软件安全，是当今软件行业面临的一个巨大挑战，与此同时，用户遇到的各种软件安全也日益增多与严重。JFrog近日发布了《2024年全球软件供应链发展报告》，JFrog大中华和日本地区总经理董任远、JFrog中国技术总监王青对该报告进行了解读，并回答了国内相关媒体关心的问题。

2024年全球软件供应链发展报告

JFrog的《2024年全球软件供应链发展报告》结合了超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据，旨在为快速发展的软件供应链领域提供信息参考。

JFrog中国技术总监王青

该报告是由JFrog Research团队专门针对于全球供应链安全问题提供的详细调研并进行研究分析的总结。JFrog中国技术总监王青介绍说，这个报告是由JFrog安全团队发起，经过很多CVE分析，并且委托第三方调研了1224名安全、开发、运维相关的从业人员，对软件供应链整个上下游进行了分析与总结，因此里面多项数据很有参考价值。

第一，开源数据调查结果。92%的专业人士认为，他们的企业至少有一个解决方案监测恶意的开源包，接受程度很高，这就表明，92%的公司都有恶意开源包的扫描工具了。89%的受访者表示，他们已经采用了OpenSSF SLSA的框架，这个框架相对来说是谷歌主导的，由开源软件安全基金会（Open Source Security Foundation）推广的一个软件供应链安全的标准。在开发人员里，42%的人表示最好在代码编写期间执行安全扫描，相对比例并不是非常高，因此安全左移还有很大的发展空间。48%的受访者表示，他们代码扫描的时候，是手动检查代码，并非自动扫描。这是缺乏效率的表现，只有1%的受访者表示，他的代码审查实现完全的自动化。值得关注的是，25%的安全团队将大量的时间花在漏洞修复上，即使这些漏洞可能被高估或者不太适用。

第二，安全实践数据调查结果。59%的企业是在构建时进行安全扫描，编码时进行安全扫描的企业占比同样为59%，在开发阶段进行安全扫描的比例还是比较高的。最常用的应用程序安全解决方案部分，静态应用程序安全测试是最多的，占到61%。动态应用程序安全测试，由于耗时比较长，有58%的公司进行这一安全测试；同时，软件构成分析的测试占比58%，得益于扫描快速，这个数字提升潜力巨大，包括JFrog本身就能做软件构成分析的扫描；56%的企业实现了API安全扫描。

第三，漏洞影响数据调查结果。在互联网上、Docker Hub上，我们调研了212个CVE样本，JFrog安全团队将85%的“严重”CVE和73%的“高危”CVE下调了评级，在CVE漏洞中，JFrog的研究团队发现了一个重大的数据，74%的漏洞实际是不可被利用的。这74%经过JFrog扫描之后，显示这些漏洞可以被忽略，从而让研发从这些修复漏洞的工作中解放出来。这就意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。

第四，AI/ML数据调查结果。在对大模型AI领域进行调研时，90%的受访者表示他们的扫描工具支持AI；90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复；有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成，但是因为ChatGPT产生的代码可能存在漏洞，超过半数的人认为这一行为有风险。90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复。

Docker Hub是一个专门用于管理Docker镜像的互联网仓库，它是目前世界上最主流、最大的Docker镜像管理仓库。王青进一步介绍说，JFrog在Docker Hub仓库里发现了460万个没有容器数据的Docker Hub 存储库（又名“无镜像”）。当镜像存储库里没有镜像，那这个存储库就毫无意义。深入检查后发现，这些被上传的无镜像存储库，绝大多数都是带着恶意目的——它们的概述页面试图欺骗用户访问钓鱼网站或托管着危险恶意软件的网站。在JFrog识别到了近300万个存储库托管过恶意内容，包括通过自动生成的账户上传的用于推广盗版内容的垃圾邮件，以及恶意软件和钓鱼网站等极度恶意的实体。我们把这个信息同时披露给了Docker公司，Docker公司基本上100%把这些恶意的仓库全部进行了清理。从一个侧面来说，JFrog也推动了互联网镜像下载的安全，保护了大家在下载时免遭恶意镜像带来的损失。

王青表示，“通过和Docker的合作，也是给我们的用户进行一个警示，大家在使用Docker镜像时，一定不能从Docker Hub随心所欲地下载。我们建议，使用JFrog的Curation和Xray进行Docker扫描，保证镜像安全性和合规性。”

JFrog全力服务快速增长的中国市场

JFrog大中华和日本地区总经理董任远介绍说，“JFrog的产品是端到端地支持全语言的开发运维平台。我们在全球服务了约7400家客户，其中在中国及日本的客户超过500家，主要包括三个方面：一是金融行业。包括了银行、证券与保险，这些领域的头部企业都采用了JFrog的解决方案。因为这些行业需要关键性业务开发，JFrog支持了‘ 两地三中心’以及高可用的方案，满足了客户对于高性能、高可用的支持。二是制造业。JFrog在中国汽车行业以及传统的电信制造业，都有很好的客户群体。三是互联网行业。中国互联网行业持续发展，我们对于互联网的头部品牌客户也有很好的支持。”

JFrog大中华和日本地区总经理董任远

过去几年，JFrog的业务全球实现了25%的增长，中国是亚太区增长最快的市场。JFrog不仅在新客户上保持增长，而且在现有客户上也保持了高速的增长，这是因为客户随着其业务的发展，在持续加码购买JFrog的产品，以适应它的数字化转型需求。董任远告诉记者，JFrog在中国的战略是“in China, for China”。过去几年，中国市场越来越多的基础架构类产品都已经支持了国产化，其中包括芯片、服务器、数据库以及中间件。JFrog就是以更合适的解决方案适配这些产品。过去的一年，JFrog已经完成了在中国的全线产品针对国产信创产品的适配，JFrog也有很多客户现在已经直接将JFrog应用到其信创环境当中。

董任远表示，“针对中国市场的特有的行业发展，我们提供了一些产品的优化以及定制化的支持。比如，这两年中国的汽车行业高速发展，JFrog针对汽车行业推出了一些新的解决方案。尤其是在制品库以及安全领域，为了更好地满足中国企业高速发展以及出海的需求，JFrog提供了定制化的支持。”

董任远分析说，中国的快速发展主要体现在两个方面：一方面是新业务的增长，主要来自于汽车行业。为了满足中国市场的不断发展，JFrog的产品也做了相应的调整，适应了新能源车的开发，基本上现在市场上主流的新能源车企在其开发运维平台都采用了JFrog的解决方案。另一方面，在金融、制造等传统业务领域，从2023年开始，很多中国企业进行业务“出海”，JFrog也帮助了这些企业针对全球化的开发运维部署提供了解决方案。另外，针对中国客户用大都在私有云上部署，尤其是现在很多私有云都采用用了国产化的解决方案，包括国产的CPU、数据库、服务器、操作系统等，JFrog的产品做了一些特定的优化以及调整。为了实现JFrog的解决方案在国产系统上能够顺畅地运转，达到最高的性能，JFrog做了很多调优以及测试。目前，很多客户尤其是金融类客户已经把他们的开发运维平台迁移到信创环境上，JFrog也提供了很大支持，帮助他们落实相关的部署。

王青补充说，“JFrog是全语言的产品，目前支持了31种语言包，不仅扫描了Docker Hub，而且还有互联网上的NPM仓库、Maven仓库，目前新增了NuGet仓库。这几样仓库是国内用户用的最主流的开源软件，全球也是同样的趋势。当我们对互联网上所有的包进行全局扫描，要耗费大量的计算资源、扫描资源，工程量是非常大的，而且要有很大的漏洞库记这些信息，JFrog在这方面投入了很大成本。目前，全球只有JFrog一家公司做了这一个事情，所以，这个数据目前只有JFrog在提供。在提升速度时又会带来安全性的风险，所以很多客户也用了Xray，在构建的时候持续地进行扫描，有漏洞立刻进行修复。所以，有了这样的方式，性能的优化，安全的优化，我们才能满足客户日益快速发布的需求，不光是快，还有安全。”

针对中国软件供应链安全行业的未来发展前景，王青认为，第一，未来的软件供应链的发展趋势一定是集中化的，它不会再像每种语言有一个单独的制品库做单独的扫描，甚至每种语言要采购单独的扫描工具去扫描，它一定是集中式的、全语言的扫描。第二，扫描一定要高效，速度要快。现在的软件研发，很多互联网企业一天都发布多次，甚至一天能够有上十次的版本发布，如果告诉他们一个漏洞扫描要花一个小时才能扫完，那研发团队则是无法接受这样的速度。第三，在软件供应链评级上要有一定的标准，企业要去适配SLSA（当然，国内不一定是这个标准，可能会有自己的标准），要去适配安全等级，来保障企业软件发布处于领先的地位。