從本土化到安全發(fā)展，軟件供應(yīng)鏈如何與時(shí)俱進(jìn)？

JFrog及其打造的全球性的全語(yǔ)言開(kāi)發(fā)運(yùn)維平臺(tái)，服務(wù)了全球約7400家客戶。它致力于創(chuàng)造一個(gè)從開(kāi)發(fā)者到設(shè)備之間暢通無(wú)阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng)，能夠幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。在數(shù)字化轉(zhuǎn)型趨勢(shì)下，JFrog近年來(lái)在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長(zhǎng)，其中，中國(guó)是亞太區(qū)增長(zhǎng)最快的區(qū)域。

日前，JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)和JFrog(中國(guó))技術(shù)總監(jiān)王青接受了<與非網(wǎng)>等媒體采訪，就軟件供應(yīng)鏈發(fā)展現(xiàn)狀、最新的安全研究調(diào)研以及JFrog在中國(guó)市場(chǎng)的發(fā)展與行業(yè)展望進(jìn)行了深入交流。

致力于適配國(guó)產(chǎn)化基礎(chǔ)架構(gòu)

據(jù)董任遠(yuǎn)介紹，在中國(guó)和日本，JFrog服務(wù)超過(guò)500家主要頭部品牌，包括83%以上的財(cái)富100強(qiáng)企業(yè)，客戶主要集中在金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。特別是在金融行業(yè)，JFrog提供了高性能和高可用性的解決方案，能夠滿足關(guān)鍵業(yè)務(wù)開(kāi)發(fā)的需求。隨著中國(guó)互聯(lián)網(wǎng)行業(yè)的持續(xù)發(fā)展，JFrog也對(duì)頭部品牌提供了良好的支持。

在中國(guó)，JFrog采取"in China, for China"的戰(zhàn)略，致力于適配中國(guó)市場(chǎng)日益增長(zhǎng)的國(guó)產(chǎn)化基礎(chǔ)架構(gòu)產(chǎn)品，如芯片、服務(wù)器、數(shù)據(jù)庫(kù)和中間件。過(guò)去一年，JFrog完成了全線產(chǎn)品對(duì)國(guó)產(chǎn)信創(chuàng)產(chǎn)品的適配，并已有客戶將JFrog產(chǎn)品應(yīng)用于信創(chuàng)環(huán)境。針對(duì)中國(guó)市場(chǎng)特有的行業(yè)發(fā)展需求，JFrog提供產(chǎn)品優(yōu)化和定制化支持。

他表示，JFrog在中國(guó)市場(chǎng)的快速增長(zhǎng)主要體現(xiàn)在兩個(gè)方面：新業(yè)務(wù)增長(zhǎng)和傳統(tǒng)業(yè)務(wù)增長(zhǎng)。新業(yè)務(wù)增長(zhǎng)主要源自汽車(chē)行業(yè)，尤其是新能源車(chē)領(lǐng)域的快速發(fā)展，JFrog為這些企業(yè)提供了適應(yīng)其開(kāi)發(fā)運(yùn)維平臺(tái)的解決方案；傳統(tǒng)業(yè)務(wù)增長(zhǎng)則來(lái)自于金融、制造等行業(yè)的企業(yè)出海，JFrog幫助這些企業(yè)實(shí)現(xiàn)全球化的開(kāi)發(fā)運(yùn)維部署。

面對(duì)中國(guó)市場(chǎng)的獨(dú)特需求和挑戰(zhàn)，JFrog采取了本地化策略和發(fā)展規(guī)劃。由于中國(guó)客戶傾向于使用私有化部署，尤其是在國(guó)產(chǎn)化的私有云解決方案上，JFrog對(duì)產(chǎn)品進(jìn)行了調(diào)優(yōu)和測(cè)試，以確保在國(guó)產(chǎn)CPU、數(shù)據(jù)庫(kù)、服務(wù)器和操作系統(tǒng)上能夠順暢運(yùn)行并發(fā)揮最高性能。此外，JFrog還支持金融等行業(yè)客戶將開(kāi)發(fā)運(yùn)維平臺(tái)遷移到信創(chuàng)環(huán)境，幫助他們完成相關(guān)部署。

全球軟件供應(yīng)鏈安全挑戰(zhàn)及趨勢(shì)

為了加強(qiáng)行業(yè)對(duì)軟件供應(yīng)鏈安全重要性的認(rèn)識(shí)，并提供對(duì)軟件供應(yīng)鏈管理的深入見(jiàn)解，JFrog Research團(tuán)隊(duì)近期發(fā)布了一份全球軟件供應(yīng)鏈發(fā)展報(bào)告。該報(bào)告基于安全團(tuán)隊(duì)的CVE分析和對(duì)1224名安全、開(kāi)發(fā)、運(yùn)維人員的第三方調(diào)研。報(bào)告主要包含四大核心點(diǎn)：

第一，軟件供應(yīng)鏈的構(gòu)成。報(bào)告分析了AI的崛起對(duì)供應(yīng)鏈的影響，以及多種開(kāi)發(fā)語(yǔ)言和容器化技術(shù)成為主流的現(xiàn)狀。第二，隱藏的風(fēng)險(xiǎn)。報(bào)告中探討了使用多種語(yǔ)言包時(shí)可能遇到的挑戰(zhàn)，如開(kāi)發(fā)者密鑰的安全、漏洞爆發(fā)對(duì)應(yīng)用的影響，以及前后端漏洞影響范圍的區(qū)別。第三，如何面對(duì)已知安全風(fēng)險(xiǎn)。該報(bào)告基于用戶訪談，展示了自動(dòng)化在安全修復(fù)中的應(yīng)用比例，以及企業(yè)在安全修復(fù)上所花費(fèi)的時(shí)間和成本。第四，AI的涌入。報(bào)告分析了企業(yè)對(duì)AI應(yīng)用的理解程度和接受度。

針對(duì)這些核心點(diǎn)，王青分享了一些關(guān)鍵發(fā)現(xiàn)：

首先，根據(jù)JFrog Catalog產(chǎn)品的數(shù)據(jù)調(diào)查，大多數(shù)企業(yè)已經(jīng)采取了措施來(lái)監(jiān)測(cè)和管理開(kāi)源軟件包的安全問(wèn)題。其中，92%的專(zhuān)業(yè)人士認(rèn)為他們的企業(yè)至少有一個(gè)監(jiān)測(cè)惡意開(kāi)源包的解決方案，89%的受訪者表示已經(jīng)采用了谷歌主導(dǎo)的OpenSSF SLSA框架（這是一個(gè)國(guó)際廣泛接受的軟件供應(yīng)鏈安全標(biāo)準(zhǔn)）。在開(kāi)發(fā)人員中，42%認(rèn)為最好在代碼編寫(xiě)期間執(zhí)行安全掃描，48%的受訪者在代碼掃描時(shí)進(jìn)行手動(dòng)檢查代碼，而非自動(dòng)掃描。只有1%的受訪者實(shí)現(xiàn)了代碼審查完全自動(dòng)化。

一個(gè)行業(yè)痛點(diǎn)值得關(guān)注：約25%的安全團(tuán)隊(duì)花費(fèi)大量時(shí)間修復(fù)可能被過(guò)度評(píng)估或不適用于他們應(yīng)用的漏洞，導(dǎo)致許多開(kāi)發(fā)人員將寶貴的時(shí)間浪費(fèi)在修復(fù)不必要的漏洞上，而非從事能夠提升商業(yè)價(jià)值的工作。

第二，在安全實(shí)踐方面，59%的企業(yè)在構(gòu)建時(shí)進(jìn)行安全掃描；靜態(tài)應(yīng)用程序安全測(cè)試（SAST）是最常用的解決方案，占61%。

動(dòng)態(tài)應(yīng)用程序安全測(cè)試由于耗時(shí)比較長(zhǎng)，有58%的公司進(jìn)行這一安全測(cè)試；同時(shí)，軟件構(gòu)成分析的測(cè)試占比58%，得益于掃描快速，這個(gè)數(shù)字提升潛力巨大，包括JFrog本身就能做軟件構(gòu)成分析的掃描；56%的企業(yè)實(shí)現(xiàn)了API安全掃描。

第三，漏洞影響方面，JFrog安全團(tuán)隊(duì)對(duì)85%的嚴(yán)重CVE和73%的高危CVE進(jìn)行了評(píng)級(jí)下調(diào)，幫助研發(fā)團(tuán)隊(duì)避免關(guān)注虛高的漏洞分?jǐn)?shù)。同時(shí)，JFrog可以對(duì)漏洞進(jìn)行上下文風(fēng)險(xiǎn)分析，確認(rèn)許多漏洞的評(píng)級(jí)可以下降，從而節(jié)省開(kāi)發(fā)者的時(shí)間。在Docker Hub中分析的100個(gè)最受歡迎的鏡像中，74%的CVE漏洞實(shí)際上不可被利用，意味著這些漏洞可以被忽略。

第四，在AI/ML工具的使用方面，90%的受訪者表示他們的掃描工具支持AI，32%的企業(yè)使用AI工具如Copilot協(xié)助代碼生成，但同時(shí)也意識(shí)到使用AI/ML工具可能帶來(lái)的風(fēng)險(xiǎn)，如惡意訓(xùn)練和植入惡意包的問(wèn)題。

對(duì)區(qū)域市場(chǎng)安全實(shí)踐的展望

王青分享了不同區(qū)域的安全解決方案使用情況：

在印度，65%的受訪者使用十個(gè)或更多的安全解決方案。相比之下，中國(guó)、法國(guó)、德國(guó)、以色列和英國(guó)的受訪者中約有一半使用六種或更少的應(yīng)用安全解決方案，表明這些地區(qū)傾向于使用統(tǒng)一平臺(tái)進(jìn)行安全掃描。

漏洞修復(fù)時(shí)間方面，54%的印度受訪者指出，開(kāi)發(fā)人員通常每月花費(fèi)一周或更長(zhǎng)時(shí)間修復(fù)漏洞。

對(duì)AI和ML的采用態(tài)度方面，法國(guó)和英國(guó)的受訪者表示，他們最不可能在軟件開(kāi)發(fā)過(guò)程中使用人工智能和機(jī)器學(xué)習(xí)技術(shù)。

Docker Hub遭受協(xié)同攻擊，JFrog和Docker聯(lián)手采取緩解和清理措施

JFrog還與Docker聯(lián)合進(jìn)行了一項(xiàng)調(diào)研，發(fā)現(xiàn)Docker Hub遭受協(xié)同攻擊，被植入數(shù)百萬(wàn)惡意存儲(chǔ)庫(kù)。

Docker Hub作為一個(gè)為開(kāi)發(fā)者提供多樣化功能的平臺(tái)，為Docker鏡像的開(kāi)發(fā)、協(xié)作和分發(fā)開(kāi)辟了許多可能性。目前，它是全球開(kāi)發(fā)者首選的頭號(hào)容器平臺(tái)，托管著超過(guò)1500萬(wàn)個(gè)存儲(chǔ)庫(kù)。

JFrog通過(guò)分析Docker Hub的存儲(chǔ)庫(kù)發(fā)布模式，識(shí)別出了異常行為，并發(fā)現(xiàn)約460萬(wàn)個(gè)無(wú)鏡像存儲(chǔ)庫(kù)中的281萬(wàn)個(gè)與這些惡意活動(dòng)有關(guān)。Docker Hub迅速響應(yīng)，下架了所有被標(biāo)記為惡意的存儲(chǔ)庫(kù)。

JFrog的發(fā)現(xiàn)和Docker的快速響應(yīng)凸顯了持續(xù)監(jiān)控公共平臺(tái)的重要性，雙方提醒用戶在使用這些平臺(tái)時(shí)要保持警惕，為了防范類(lèi)似攻擊，用戶應(yīng)優(yōu)先使用Docker Hub中標(biāo)記為“可信內(nèi)容”的鏡像，并注意官方鏡像標(biāo)簽、已驗(yàn)證發(fā)布者和贊助OSS標(biāo)簽。

中國(guó)市場(chǎng)的挑戰(zhàn)和前景

談及中國(guó)市場(chǎng)的發(fā)展和規(guī)劃時(shí)，王青從軟件供應(yīng)鏈安全角度進(jìn)行了分享：首先，未來(lái)的軟件供應(yīng)鏈將趨向集中化，不再需要為每種語(yǔ)言單獨(dú)采購(gòu)掃描工具，而是實(shí)現(xiàn)全語(yǔ)言的集中式掃描；其次，鑒于互聯(lián)網(wǎng)企業(yè)頻繁的版本發(fā)布，漏洞掃描必須高效快速，以適應(yīng)快節(jié)奏的研發(fā)需求；第三，企業(yè)需要適配如SLSA等安全等級(jí)標(biāo)準(zhǔn)，確保軟件發(fā)布處于行業(yè)領(lǐng)先地位。

董任遠(yuǎn)認(rèn)為，中國(guó)市場(chǎng)跟其他市場(chǎng)的主要區(qū)別在于擁有很多國(guó)產(chǎn)新設(shè)備。過(guò)去幾年，中國(guó)在技術(shù)創(chuàng)新上有很多的突破，無(wú)論是硬件、軟件等，涌現(xiàn)出很多國(guó)產(chǎn)化需求。因此，JFrog在適配中國(guó)客戶需求的過(guò)程中，需要保持多樣性以及最大范圍的兼容。同時(shí)，JFrog也針對(duì)中國(guó)客戶需求進(jìn)行了優(yōu)化，確保無(wú)論使用何種硬件或軟件平臺(tái)，客戶都能獲得最大化的性能和效率。