数字化转型风口之下，JFrog 拓展中国 DevOps 业务背后的思考

数字化转型，带动企业软件资产管理需求

随着全球数字化转型进程加快，企业的软件资产逐渐增加，企业也越来越重视软件资产管理。

根据 IDC 的分析，到 2024 年时，全球将会有 5.2 亿个软件应用，约 60%的企业每天都会发布一个版本，乃至多个版本。与此同时，很多软件都会被发布到边缘节点，发布到手机等个人设备上。

“数字化时代造就了 JFrog”，JFrog 大中华区总经理董任远表示。成立于 2008 年的 JFrog 是一家业软件资产管理仓库提供商，开发人员从开发、测试、分发以及最后到应用端都涉及到软件制品仓库。JFrog 希望创造从开发人员到设备之间畅通无阻的软件交付体验。

JFrog 平台：软件交付的一致和可靠的可信源平台

JFrog 最核心的能力体现在 JFrog 平台上，这是一个面向企业开发者、运维人员、安全专员的企业通用软件制品管理仓库，支持市面上主流的 30 种不同技术栈软件仓库以及二进制包的管理，且可以轻松地和各种 CI/CD 工具集成，在完整的软件生命周期里管理二进制的构建信息，进行安全监控，开源许可监控等。

JFrog 被认为是一个单一可信源的平台，确保软件交付的一致性和可靠性，所有的构建和部署都必须通过这一个可信源来进行发布。JFrog Artifactory 存储了所有的软件包、容器镜像和配置文件，并进行统一管理，以及根据需要进行发布。同时，因为经由可信源发布出去，每一个环节都可以追踪可控。

具体来说，JFrog 平台的构架包括：软件在构建完成后通常会存储在制品仓库 JFrog Artifactory 中。接下来对制品仓库里相关存储的软件和二进制包进行安全检测、漏洞审查，即 JFrog Xray 和 JFrog Advanced Security。如果相关安全性没有问题了，接下来就可以进行分发，通过 JFrog Distribution 可以分发到很多地方，像中国有“两地三中心”，也可以发到其他的数据中心里，同时可发布到云环境里甚至一些混合云环境中。最后再通过这些环境，通过 JFrog Connect 专门的技术发布到 IoT 的 Device 上。这套平台由 JFrog Mission Control 可视化平台监控动态、工作负载和性能表现。

JFrog 核心价值

据 JFrog 大中华区总经理董任远介绍，JFrog 平台具备的核心价值主要体现在以下方面：

• 全语言统一维护。

JFrog 支持 30 多种不同的技术栈软件仓库，同时可以支持 Docker 的镜像，配置文件的管理。

• 高可用、零宕机。

对很多企业来说，管理软件资产是关键性业务，尤其是，软件资产绝不能出现宕机行为，因为很多工程师、运维人员都会使用这个系统，高可用是非常重要的特性。JFrog 支持本地多活、双活及集群管理。同时，我们也支持“两地三中心”，不同的地域之间互为热备份。

• 支持 DevOps 全流程管理。

每个环节都可以记录 DevOps 的状态，比如，软件包是否经过测试、安全检查等，这些都会以元数据的形式进行处理。所有软件包在仓库里都可以溯源。

• 实时发布。

软件构建好后会分发到各个中心边缘节点，每天在传输中的软件非常大，JFrog 支持 P2P 下载。面对上万并发下载的场景，可以做到基于 checksum 去重，只传输新增部分，这样可以节省很多带宽和流量。

• 开源合规检测。

现在开发软件经常会引用很多开源组件，开源组件可能存在风险，一是外来的组件可能会产生一些漏洞或恶意代码，通过开源扫描功能可以给用户发出潜在的风险提示，也可以看到企业内部是否有不合规的开源许可等。

• 对二进制制品进行管理。

JFrog 在制品仓库中存储了 DevOps 的元数据，在统一管理企业二进制软件资产的前提下，通过与企业交付流程不同工具链的集成，收集软件生命周期中的信息，对原本不透明的二进制制品进行管理，提供丰富的元数据的信息记录，确保软件质量与安全的可靠、可信。

• JFrog 支持主流通用的技术栈，支持无限扩展使用场景和环境。

JFrog 可以自如地应对很多复杂的开发场景，以及上万的开发团队的规模。JFrog 产品既有单机版，也可以做很复杂的集群，在中国，有的客户甚至达到了上百个集群的规模。同时，JFrog 具备多环境同步的功能，涉及到混合云、多云部署，真正实现了端到端的管理。

• 软件安全。

JFrog 在很早时就意识到了软件安全的重要性。DevOps 一直在提倡安全左移，即在软件开发时就考虑到安全的概念，并进行相关的扫描。JFrog 提供了两个非常重要的安全扫描解决方案：通过 JFrog Xray 实现软件 SCA、安全左移，风险阻断及开源治理功能；通过 JFrog Advanced Security 进一步加强安全扫描，对漏洞进行上下文的风险分析、风险检测、恶意代码管控等，并据此判断漏洞是否被调用，给企业发出相关提示。

董任远表示，JFrog Advanced Security 产品有跨时代意义，传统的安全扫描软件只能检测第三方的软件风险是否被引入到了自研产品中，JFrog Advanced Security 则能判断被引入后到底产生了多大的风险。通过上下文分析，看这个软件的风险类是否被调用了，让安全管理团队对潜在的安全风险做进一步风险管控。同时，对源代码进行扫描，发现恶意代码及配置管理当中暴露的安全问题。JFrog 披露漏洞可以帮助软件开发者用户了解相关的安全与威胁，从而减少和避免相关的安全风险。

• 跨环境多场景。

JFrog 在本地部署可以多集群、跨区域、跨地域，同时也提供云的解决方案，包括私有云、公有云等。同时提供 SaaS 版本，企业用户根据需要可以到云平台上购买相关的 JFrog 的服务。

• Frog Connect

这是 JFrog 未来看重的一个能力，未来软件交付给用户的是各种各样的方案，包括数据中心、电脑、IoT 设备等，如何通过一套软件把软件交付顺利进行到各种各样的环境中，这是 JFrog 另一个非常关键的能力，即 JFrog Connect。

JFrog 在中国市场的“本土战略”

2016 年，JFrog 进入中国，当时主要通过授权代理商的形式，在中国进行相关业务部署。2021 年，JFrog 正式进入中国。

在中国市场，JFrog 主要面向所有有着数字和转型压力的企业。随着国内企业数字化转型加快，以及企业对于软件资产不断重视，这对于 JFrog 来说，是一个机遇。

据介绍，截至目前，JFrog 在中国服务超过 400 家企业，落地金融领域、汽车、能源、互联网科技等领域，接下来，JFrog 希望持续地影响行业领头企业，带动中小企业提高软件开发和交付的能力。

这几年，云原生的普及大大促进 DevOps 了的发展，JFrog 进入中国以后，在推动 DevOps 实践方面带来了很多变化。

董任远介绍，JFrog 可以提供全面的 DevOps 解决方案的工具，支持企业实现云原生，其中包括构建、测试、部署、配置管理、安全等方面的需求。同时可以提供针对云原生应用程序的制品管理相关的解决方案，比如 JFrog Artifactory 和 JFrog Xray 这两个关键 JFrog 的组件，可以帮助用户管理和保护云原生的应用程序的制品，并确保其安全可靠性。

DevOps 在中国的行业应用中，JFrog 看到金融行业对于安全的需求非常高，互联网行业最主要的 DevOps 痛点是高并发、大容量的需求。此外，越来越多的制造业以及科技企业来使用 DevOps 的平台，他们更多考虑端到端的交付以及软件合规的一些特殊需求。

董任远观察到，与国外企业不同，中国的企业偏向选择大而全的 DevOps 平台，但国外的企业更专注于如何将一些最好的技术应用在不同的 DevOps 环境中，以达到极致的性能。

在生态建设方面，JFrog 在中国区实现了相关的处理器、操作系统、数据库的兼容，尤其是互操作认证。

另一个重要趋势是，JFrog 中国的企业用户对软件供应链安全的需求度很高，这方面的意识也不断提升。软件供应链风险时时刻刻存在，从开发到分发每个阶段都会存在风险，只有时时刻刻进行不停地扫描，对漏洞库进行更新，才能确保整个供应链的安全。

在这个方面，JFrog Xray 服务集成了 NVD 及 VulnDB 权威的漏洞数据库，帮助用户在软件生命周期全流程对软件供应链安全风险和开源许可进行扫描。通过这种安全左移，尽可能在研发端就把相关风险阻断，同时进行依赖分析、影响分析，帮助客户实现供应链风险治理。