從本土化到安全發(fā)展，軟件供應(yīng)鏈如何與時俱進？

JFrog及其打造的全球性的全語言開發(fā)運維平臺，服務(wù)了全球約7400家客戶。它致力于創(chuàng)造一個從開發(fā)者到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應(yīng)鏈平臺是統(tǒng)一的記錄系統(tǒng)，能夠幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。在數(shù)字化轉(zhuǎn)型趨勢下，JFrog近年來在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長，其中，中國是亞太區(qū)增長最快的區(qū)域。

日前，JFrog大中華和日本地區(qū)總經(jīng)理董任遠和JFrog(中國)技術(shù)總監(jiān)王青接受了<與非網(wǎng)>等媒體采訪，就軟件供應(yīng)鏈發(fā)展現(xiàn)狀、最新的安全研究調(diào)研以及JFrog在中國市場的發(fā)展與行業(yè)展望進行了深入交流。

致力于適配國產(chǎn)化基礎(chǔ)架構(gòu)

據(jù)董任遠介紹，在中國和日本，JFrog服務(wù)超過500家主要頭部品牌，包括83%以上的財富100強企業(yè)，客戶主要集中在金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。特別是在金融行業(yè)，JFrog提供了高性能和高可用性的解決方案，能夠滿足關(guān)鍵業(yè)務(wù)開發(fā)的需求。隨著中國互聯(lián)網(wǎng)行業(yè)的持續(xù)發(fā)展，JFrog也對頭部品牌提供了良好的支持。

在中國，JFrog采取"in China, for China"的戰(zhàn)略，致力于適配中國市場日益增長的國產(chǎn)化基礎(chǔ)架構(gòu)產(chǎn)品，如芯片、服務(wù)器、數(shù)據(jù)庫和中間件。過去一年，JFrog完成了全線產(chǎn)品對國產(chǎn)信創(chuàng)產(chǎn)品的適配，并已有客戶將JFrog產(chǎn)品應(yīng)用于信創(chuàng)環(huán)境。針對中國市場特有的行業(yè)發(fā)展需求，JFrog提供產(chǎn)品優(yōu)化和定制化支持。

他表示，JFrog在中國市場的快速增長主要體現(xiàn)在兩個方面：新業(yè)務(wù)增長和傳統(tǒng)業(yè)務(wù)增長。新業(yè)務(wù)增長主要源自汽車行業(yè)，尤其是新能源車領(lǐng)域的快速發(fā)展，JFrog為這些企業(yè)提供了適應(yīng)其開發(fā)運維平臺的解決方案；傳統(tǒng)業(yè)務(wù)增長則來自于金融、制造等行業(yè)的企業(yè)出海，JFrog幫助這些企業(yè)實現(xiàn)全球化的開發(fā)運維部署。

面對中國市場的獨特需求和挑戰(zhàn)，JFrog采取了本地化策略和發(fā)展規(guī)劃。由于中國客戶傾向于使用私有化部署，尤其是在國產(chǎn)化的私有云解決方案上，JFrog對產(chǎn)品進行了調(diào)優(yōu)和測試，以確保在國產(chǎn)CPU、數(shù)據(jù)庫、服務(wù)器和操作系統(tǒng)上能夠順暢運行并發(fā)揮最高性能。此外，JFrog還支持金融等行業(yè)客戶將開發(fā)運維平臺遷移到信創(chuàng)環(huán)境，幫助他們完成相關(guān)部署。

全球軟件供應(yīng)鏈安全挑戰(zhàn)及趨勢

為了加強行業(yè)對軟件供應(yīng)鏈安全重要性的認識，并提供對軟件供應(yīng)鏈管理的深入見解，JFrog Research團隊近期發(fā)布了一份全球軟件供應(yīng)鏈發(fā)展報告。該報告基于安全團隊的CVE分析和對1224名安全、開發(fā)、運維人員的第三方調(diào)研。報告主要包含四大核心點：

第一，軟件供應(yīng)鏈的構(gòu)成。報告分析了AI的崛起對供應(yīng)鏈的影響，以及多種開發(fā)語言和容器化技術(shù)成為主流的現(xiàn)狀。第二，隱藏的風(fēng)險。報告中探討了使用多種語言包時可能遇到的挑戰(zhàn)，如開發(fā)者密鑰的安全、漏洞爆發(fā)對應(yīng)用的影響，以及前后端漏洞影響范圍的區(qū)別。第三，如何面對已知安全風(fēng)險。該報告基于用戶訪談，展示了自動化在安全修復(fù)中的應(yīng)用比例，以及企業(yè)在安全修復(fù)上所花費的時間和成本。第四，AI的涌入。報告分析了企業(yè)對AI應(yīng)用的理解程度和接受度。

針對這些核心點，王青分享了一些關(guān)鍵發(fā)現(xiàn)：

首先，根據(jù)JFrog Catalog產(chǎn)品的數(shù)據(jù)調(diào)查，大多數(shù)企業(yè)已經(jīng)采取了措施來監(jiān)測和管理開源軟件包的安全問題。其中，92%的專業(yè)人士認為他們的企業(yè)至少有一個監(jiān)測惡意開源包的解決方案，89%的受訪者表示已經(jīng)采用了谷歌主導(dǎo)的OpenSSF SLSA框架（這是一個國際廣泛接受的軟件供應(yīng)鏈安全標準）。在開發(fā)人員中，42%認為最好在代碼編寫期間執(zhí)行安全掃描，48%的受訪者在代碼掃描時進行手動檢查代碼，而非自動掃描。只有1%的受訪者實現(xiàn)了代碼審查完全自動化。

一個行業(yè)痛點值得關(guān)注：約25%的安全團隊花費大量時間修復(fù)可能被過度評估或不適用于他們應(yīng)用的漏洞，導(dǎo)致許多開發(fā)人員將寶貴的時間浪費在修復(fù)不必要的漏洞上，而非從事能夠提升商業(yè)價值的工作。

第二，在安全實踐方面，59%的企業(yè)在構(gòu)建時進行安全掃描；靜態(tài)應(yīng)用程序安全測試（SAST）是最常用的解決方案，占61%。

動態(tài)應(yīng)用程序安全測試由于耗時比較長，有58%的公司進行這一安全測試；同時，軟件構(gòu)成分析的測試占比58%，得益于掃描快速，這個數(shù)字提升潛力巨大，包括JFrog本身就能做軟件構(gòu)成分析的掃描；56%的企業(yè)實現(xiàn)了API安全掃描。

第三，漏洞影響方面，JFrog安全團隊對85%的嚴重CVE和73%的高危CVE進行了評級下調(diào)，幫助研發(fā)團隊避免關(guān)注虛高的漏洞分數(shù)。同時，JFrog可以對漏洞進行上下文風(fēng)險分析，確認許多漏洞的評級可以下降，從而節(jié)省開發(fā)者的時間。在Docker Hub中分析的100個最受歡迎的鏡像中，74%的CVE漏洞實際上不可被利用，意味著這些漏洞可以被忽略。

第四，在AI/ML工具的使用方面，90%的受訪者表示他們的掃描工具支持AI，32%的企業(yè)使用AI工具如Copilot協(xié)助代碼生成，但同時也意識到使用AI/ML工具可能帶來的風(fēng)險，如惡意訓(xùn)練和植入惡意包的問題。

對區(qū)域市場安全實踐的展望

王青分享了不同區(qū)域的安全解決方案使用情況：

在印度，65%的受訪者使用十個或更多的安全解決方案。相比之下，中國、法國、德國、以色列和英國的受訪者中約有一半使用六種或更少的應(yīng)用安全解決方案，表明這些地區(qū)傾向于使用統(tǒng)一平臺進行安全掃描。

漏洞修復(fù)時間方面，54%的印度受訪者指出，開發(fā)人員通常每月花費一周或更長時間修復(fù)漏洞。

對AI和ML的采用態(tài)度方面，法國和英國的受訪者表示，他們最不可能在軟件開發(fā)過程中使用人工智能和機器學(xué)習(xí)技術(shù)。

Docker Hub遭受協(xié)同攻擊，JFrog和Docker聯(lián)手采取緩解和清理措施

JFrog還與Docker聯(lián)合進行了一項調(diào)研，發(fā)現(xiàn)Docker Hub遭受協(xié)同攻擊，被植入數(shù)百萬惡意存儲庫。

Docker Hub作為一個為開發(fā)者提供多樣化功能的平臺，為Docker鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前，它是全球開發(fā)者首選的頭號容器平臺，托管著超過1500萬個存儲庫。

JFrog通過分析Docker Hub的存儲庫發(fā)布模式，識別出了異常行為，并發(fā)現(xiàn)約460萬個無鏡像存儲庫中的281萬個與這些惡意活動有關(guān)。Docker Hub迅速響應(yīng)，下架了所有被標記為惡意的存儲庫。

JFrog的發(fā)現(xiàn)和Docker的快速響應(yīng)凸顯了持續(xù)監(jiān)控公共平臺的重要性，雙方提醒用戶在使用這些平臺時要保持警惕，為了防范類似攻擊，用戶應(yīng)優(yōu)先使用Docker Hub中標記為“可信內(nèi)容”的鏡像，并注意官方鏡像標簽、已驗證發(fā)布者和贊助OSS標簽。

中國市場的挑戰(zhàn)和前景

談及中國市場的發(fā)展和規(guī)劃時，王青從軟件供應(yīng)鏈安全角度進行了分享：首先，未來的軟件供應(yīng)鏈將趨向集中化，不再需要為每種語言單獨采購掃描工具，而是實現(xiàn)全語言的集中式掃描；其次，鑒于互聯(lián)網(wǎng)企業(yè)頻繁的版本發(fā)布，漏洞掃描必須高效快速，以適應(yīng)快節(jié)奏的研發(fā)需求；第三，企業(yè)需要適配如SLSA等安全等級標準，確保軟件發(fā)布處于行業(yè)領(lǐng)先地位。

董任遠認為，中國市場跟其他市場的主要區(qū)別在于擁有很多國產(chǎn)新設(shè)備。過去幾年，中國在技術(shù)創(chuàng)新上有很多的突破，無論是硬件、軟件等，涌現(xiàn)出很多國產(chǎn)化需求。因此，JFrog在適配中國客戶需求的過程中，需要保持多樣性以及最大范圍的兼容。同時，JFrog也針對中國客戶需求進行了優(yōu)化，確保無論使用何種硬件或軟件平臺，客戶都能獲得最大化的性能和效率。