（文/赵法彬）近期，JFrog在美国举办了swampUP 2024，分享了其在网络安全领域、运维领域的最新创新成果及新的技术解决方案，也针对当下市场关于AI、大模型的重要领域公布了新的技术以及与一些重要合作伙伴的协作成果。日前，JFrog大中华区和日本地区总经理董任远、JFrog中国技术总监王青与国内媒体进行了交流，分享了这次大会的主要内容和创新成果。

技术创新是根本

对于高科技企业来说，技术创新是企业的根本所在。JFrog中国技术总监王青告诉记者，JFrog是一个做制品库出身的公司，制品库是DevOps环节中最核心的一部分，而DevOps最大的痛点就是如何进行工具链的打通，JFrog有近8000家的成功案例，正在以制品库为核心打通整个DevOps工具链。现在JFrog作为一个软件供应链平台，业务不仅仅涉及制品管理，而且已经延伸到整个软件供应链，制品就是软件供应链的一部分。JFrog的产品除了核心的JFrog Artifactory——全球唯一的全源制品库管理，还有专门应用于开源软件隔离治理的JFrog Curation，还有JFrog XRAY漏洞扫描等，这些都是软件成分分析的重要工具。

要想发挥DevOps的效用，就需要协作，而非孤岛。为此，JFrog提出了EveryOps概念，可以整合不同的工具，实现了平台化与E2E发布自动化。王青介绍说，JFrog除了制品库核心功能之外，也有用于软件发布的JFrog Distribution，帮助用户把软件快速地从研发中心分发到云上或者数据中心。如果用户需要有物联网的设备版本进行更新，JFrog也提供了JFrog Connect，专门提供物联网设备的二进制包更新的整个流程。JFrog ML是今年最新提供的解决方案，可以实现对大模型的运维提供模型管理，涵盖了整个模型供应链编排包括模型的部署。JFrog提供了一整套解决方案，不仅是基于普通的制品、开发者的制品，还有安全扫描、版本纷发、LT设备以及大模型持续部署持续编排的能力等等。

据悉，每10个应用程序中就有7个在运行5年后存在安全漏洞。另外据IDC研究发现，随着许多公司寻求整合DevSecOps工具，一个主要的盲点仍然是监控和响应在生产过程中发生的事件的能力，以及在整个工具链中顺畅地管理更正文件。在软件包创建、打包、分发、部署的时候，都会有各种各样的网络攻击行为。为了应对这一挑战，今年9月份JFrog发布了首个运行时安全解决方案——JFrog Runtime，可以使企业能够将安全性无缝集成到开发流程的每一个环节——贯穿源代码编写、二进制文件部署和生产。王青表示，JFrog简化了开发人员与安全团队之间的协作流程，实现了DevSecOps任务的自动化，为现代云原生应用开发节省了时间并进一步加强了安全性。它使团队能够实时监控Kubernetes集群，从而根据实际风险来识别、优先处理并快速解决安全隐患。此外，它还有助于确保镜像完整性并有效满足合规性要求。JFrog Runtime使用户能够追踪和管理不同来源的软件包，按环境类型组织存储库，并激活JFrog Xray策略，最终加强从代码到运行时的安全性。作为JFrog的一部分，Runtime还能够弥合团队之间在可见性和协调性方面和认知差异，优化版本控制和软件包开发，同时确保研发、DevOps和安全团队能够高效协作，为开发人员节省宝贵时间。

集成合作是关键

在市场竞争日益激烈的今天，依靠自己单打独斗的企业很难生存，因此，携手合作、共同发展才是企业立于不败之地的关键。JFrog与NVIDIA集成，借助NVIDIA NIM加速AI部署，实现大规模交付的安全AI模型；JFrog与与GitHub强化合作伙伴关系和集成(Copilot)，实现无缝代码和二进制开发体验。

NVIDIA是全球加速计算的领导者，其GPU对很多致力于开发大模型的团队而言是必不可少的硬件，它的强大之处在于实现大模型推理所需要的并行计算。王青分析说，传统NVIDIA的模型发布需要从NVIDIA模型中心区拉取模型，把它部署到NVIDIA训练集群里面去。JFrog提供的功能是帮助用户实现本地可以搭建Artifactory，通过代理NGC的NVIDIA模型中心，能够把模型缓存在企业内部，在本地K8s集群拉取镜像和拉取模型的时候，都可以从Artifactory进行拉取。这样既能够提升镜像和模型的拉取速度，还能够帮助企业在本地实现模型化的管理。同时JFrog Xray能够对大模型进行恶意模型的扫描，帮助企业规避被模型仓库里恶意模型攻击的隐患。

GitHub是互联网上最大的代码管理仓库，有着广大的用户群体，它的优点是在于源码管理，弱点在制品管理。JFrog和GitHub合作了一个深度的集成，为开发者提供能够呈现项目状态和安全态势的综合视图，帮助他们快速解决公司高级安全产品发现的潜在漏洞。王青介绍说，如果企业用户用到了GitHub作为源码管理平台和构建平台，当在GitHub做Artifactory构建的时候，页面上能够直观地看到JFrog的链接。这些链接点击进入之后，直接跳到JFrog平台。我们的漏洞扫描信息在这个页面上也会统一得到展示，开发者不需要再跳转到JFrog检查漏洞信息，在GitHub就能完全看见了，非常方便。此外，JFrog和GitHub还合作推出Copilot Chat扩展插件，帮助开发者深入快速了解第三方软件包；JFrog利用当前的OpenID Connect（OIDC）集成，改进了GitHub存储库和Artifactory中JFrog项目之间的自动授权和无缝项目映射，开发者无需对每个存储库重新进行身份验证；GitHub Advanced Security和JFrog Advanced Security（包括发现上述Python漏洞的扫描程序）安全扫描结果的统一视图可帮助开发者在开发生命周期的早期阶段识别并消除潜在的软件漏洞，从而节省时间成本并降低风险；JFrog还有一个工具Frogbot，当对代码进行Commit、Merge和Pull Request的时候，会主动触发JFrog机器人对代码进行扫描，保证每次代码合并请求都会实现一个安全的审核；GitHub上的全新作业摘要页面为开发者提供了每个GitHub Actions工作流运行和安全状态的快速视图，使开发者可以查看每个构建的输出软件包，轻松跳转至JFrog Artifactory中的位置并返回原页面，实现双向端到端发布追溯。

业务发展是保障

技术创新、集成合作也是为了实现企业的业务发展。JFrog大中华区和日本地区总经理董任远表示，2024年，不论是从技术的创新还是业务的发展，JFrog还是比较成功的，尤其是在中国业务也实现了持续的增长。

针对中国的市场特点，董任远分析说，第一，中国的客户在开发运维中通常使用了多样化的工具，有开源的，也有闭源的，每一个项目工具都有自己的功能特点，但是在整个运维当中，效用相对较低。尤其是近两年，由于每个环节都是不相通的，很多客户的数据量以及流量吞吐能力增加时，就会造成企业在开发运维方面的困难。因此，中国已经有很多客户在2024年把整个方案与不同的工具整合到一起，用JFrog代替零散的工具，从而实现统一的制品安全以及交付管理。第二，中国市场客户持续的数字化转型还在如火如荼地进行，企业只要是做数字化管理，就需要依赖JFrog解决方案以及软件供应链安全的完善。第三，中国企业在加速出海走向国际市场，他们不仅在中国本地有数据中心，而且也正在海外的目标市场，建立相应的数据中心，就需要在数据中心实现相应的部署，存储当地客户的信息，同时保证和总部进行交流。为此，今年他们很多购买JFrog的技术与解决方案都是部署在其海外的数据中心。随着行业内软件供应链安全意识提高，对于JFrog技术的需求变得越来越大。同时，很多企业将产品交付到其他市场的时候，有些地区根据当地政策，需要提供软件物料清单，JFrog能够提供SBOM的功能，可以一键式生成软件物料清单，可以交由不同区域的机构进行产品合规的审查。第四，中国的企业对于保障软件供应链安全的意识越来越明显，很多客户都是在开发第一时间对于所用的第三方产品实现相应的检测，以确保在第一时间内发现潜在隐患，解决问题。

谈及JFrog明年对中国市场的期望，董任远表示，我们预期，2025年中国市场还会保持高速的增长，尤其是在制造业，中国的汽车不仅满足中国市场，而且越来越多地交付海外市场，我们看到有无限的潜能与机遇。同样，在很多制造业与高科技领域，随着中国企业“走出去”，对于JFrog产品的需求也会越来越大。我们相信在2025年，JFrog在中国市场会保持高速的业务增长。