无须置疑，软件已成为构筑数字全国的弘远基础，各式开源技巧的真切应用加快着企业业务革命的脚步，但与此同期，全球的软件供应链也在濒临着不少威逼。其原因在于，企业集成的应用软件和器具纵横交错，潜在的安全风险显赫加多，在料理、运维、监控等身手更具挑战。举例，许多企业使用的编程说话多达十多种，他们在进行安全插足时勤恳场地性，况且容易“过度投资”，在支吾AI/ML带来的技巧洪流时更是准备不及。

看成一家专注于擢升企业软件供应链安全性的公司，JFrog领有特意的安全研究团队，好像为开拓和安全团队提供强有劲的技巧支握。从SBOM到SPDX尺度，软件供应链安定走入圭表化发展，企业有着各式料理软件供应链的器具和花式。此前，OpenSSF（开源软件安全基金会）也提议了SLSA尺度，共分为四个级别：是否引入级别料理；构建级别料理是否纪录所有这个词依赖；发布时是否能确保软件不可变；供应链在传输和录用过程中是否安全。

通过这些评级尺度，企业CIO或CISO不错准确判断企业的软件供应链景况，而JFrog早已支握SBOM、SPDX的圭表导出，包括单文献、团聚文献，以及套包发布、文献夹发布、镜像发布，不错匡助企业一键导出，快速生成软件供应链。同期，源于Artifactory的软件依赖包也实足安全。借助JFrog提供的端到端的供应链安全决议，客户不错在SLSA尺度中获取较高的评级。

“以前几年，咱们的业务握续保握擢升，全球罢了25%的增长，中国阛阓是亚太区增长最快的区域。不异，JFrog不仅在新客户上保握增长，在现存客户上，也保握了高速的增长，客户跟着其业务的发展，在握续加码购买JFrog的居品，以符合数字化转型的需求。”JFrog大中华和日土产货区总司理董任远默示。

JFrog大中华和日土产货区总司理董任远

JFrog的《2024年全球软件供应链发展证明》（以下简称“证明”）辘集了进步7000家企业的JFrog Artifactory开拓者使用数据、JFrog安全研究团队原创的CVE分析，以及寄托第三方对全球1200多名技巧专科东谈主士进行的窥察数据，旨在为快速发展的软件供应链范围提供信息参考。该证明要点关心四个方面：软件供应链的组成、软件供应链遮盖的风险、企业正在罗致的安全措施、AI的涌入。举例，AI的发展让容器化环境愈发复杂，多种开拓说话同期存在，可用于开拓应用措施的开源软件包和库越来越多，带来了更大的潜在风险。同期，过失的影响范围和危害性需要进一步细目。企业要对已知的安全风险作念好准备，并对AI技巧加深知道力。

从JFrog Catalog的数据来看，Docker Hub和NPM组件对外恳求最多，是对软件包类型孝敬最大的。跟着可用软件包的数目不停增长，垃圾邮件、坏心软件包和相干风险成为新软件包和库的当然组成部分，新版块的快速引入需要付出多数悉力材干正确料理。窥察终局泄漏，92%的专科东谈主士觉得，企业至少有一个处治决议检测坏心的开源包，89%的受访者反应，他们的组织罗致了OpenSSF SLSA等安全框架，42%的开拓东谈主员称最佳在代码编写时间扩充安全扫描，而41%的东谈主则默示会在引入开源软件时扩充安全扫描。因此，安全左移仍有较大的擢升起间。

“传统安全对开拓来讲即是开盲盒，开拓完把包交出去之后，才发现安全扫描出不少过失，导致开拓返工，需要更新依赖、再行测试和打包。此时，安全左移的意见应时而生。不外，许多器具的左移齐不透彻。”在JFrog中国技巧总监王青看来，安全左移不仅要在开拓阶段，况且每天开拓的时候齐要进行安全扫描，这亦然JFrog所作念的事情，“咱们在IDE开拓器具中镶嵌了扫描器具，在落魄仓库，JFrog Curation把‘安全左移’作念到了极致，一朝有坏心包挫折行径，JFrog不错让这个包无法进入公司内网。”

JFrog中国技巧总监王青

48%的受访者在代码扫描时是手动检查代码，仅有1%的受访者称，他们的代码审查是十足自动化的。另外，25%的安全团队会把多数时辰花在过失建筑上，即使这些过失可能被高估或者不太适用，对使命效果带来了影响。证明提到，在印度65%的企业使用了10个以上的安全扫描器具，在中国、法国、德国、以色列、英国事6个或以下，但很少只用一、两个，安全扫描器具不仅波及采购用度，还有厚爱用度、料理用度等。JFrog的Xray和成品库是长入绑定的，不错让使用成品库的用户自动获取安全扫描的材干，需要脱落购买Xray。同期，JFrog的居品并不欺压用户数，无论企业是百东谈主限制也曾万东谈主限制，用度是接头的，均不错获取安全扫描、成品料理、供应链料理等长入的处治决议，具有很高的性价比。

证明指出，企业常常进行安全扫描的开拓阶段是编码（59%）、构建（59%）、驱动（57%），常用的应用措施安全处治决议是静态应用措施安全测试（61%）、动态应用措施安全测试（58%）、软件构要素析测试（58%）、API安全（56%）。

Docker Hub是一个为开拓者提供千般化功能的平台，为Docker镜像的开拓、互助和分发开辟了许多可能性，托管着进步1500万个存储库，是全球开拓者首选的容器平台。JFrog在Docker Hub仓库中发现了460万个莫得容器数据的Docker Hub存储库（笔名“无镜像”）。这些无镜像的库多数带有坏心蓄意，试图通过详尽页面诳骗用户打听垂钓网站，窃取信用卡等信息。JFrog识别出了近300万个存储库托管过坏心内容，包括通过自动生成的账户上传用于扩充盗版内容的垃圾邮件，以及坏心软件和垂钓网站等特别坏心的实体，并通过与Docker的合作，把这些坏心内容进行了关闭。

“环球不成从Docker Hub运用自由地进行下载，咱们建议使用JFrog的Curation和Xray进行Docker扫描，保证镜像的安全性和合规性。”王青说。JFrog Curation不错被视为“落魄仓库”，当开拓者尝试下载坏心镜像的时候，Curation会在Docker Hub探伤镜像扫描终局（Curation已事前扫描所有这个词安全过失），接到恳求后坐窝见告镜像扫描的过失证明，利用落魄策略把坏心包阻断在公司内网除外。

即使坏心包不禁止浸透到公司里面，还不错开启JFrog Xray飞速对有过失的镜像进行会诊。JFrog基于凹凸文的风险分析扫描不错判定过失是否被实质利用，要是是，则阻断，要是不可被利用，则会对镜像放期骗用，并不会对企业里面安全形成影响。王青觉得，这种花式不错处治开拓部门和安一起门的冲破，前者在版块调用和开拓时不但愿受到欺压，后者则是不但愿开拓减轻调用软件包，带来安全隐患。有了Curation之后，开拓者就能在安全允许的范围内解放拉包。

与传统的安全扫描公司不同，JFrog既不错提供内网的软件依赖，也不错提供可靠的安全扫描，覆盖通盘软件供应链的安全历程，撑握了安全、运维、开拓、测试等各个身手，开拓者在拉动镜像时，JFrog会在Docker客户端介入安全扫描器具提醒，识别高危风险镜像，缔造阻断策略。

举例，某银行客户但愿找到FastJson、Log4j等坏心软件的黑名单，来十足回避这些过失，对此，传统的安全扫描器具只可扫出来，但不知谈具体哪个研发东谈主员在使用，除非是研发部门打包交给安全团队材干知道。JFrog的决议是全行级别的阻断，当开拓者尝试下载含有Log4j的包时，安全员缔造的评分是阻断Log4j的特定版块，开拓者在调用时会因该过失已被阻断，从而聘请建筑过的版块使用，大幅裁汰了建筑资本。

上文提到的“凹凸文分析”源自JFrog的中枢功能JFrog Advanced Security（JAS），在中枢的CVE过失中，有50%的评级为“严重”的过失在Maven仓库里是不可被利用的，也即是说这些过失不错被忽略。不异，JFrog对Docker Hub上的212个CVE样本进行了调研，将85%的严重CVE和73%的高危CVE下调了评级。JFrog在Docker Hub平分析了最受迎接的100个镜像，包括Tomcat、Ubuntu、GDK等高下载量的镜像，其中有许多CVSS评分的过失。在这些CVE过失中，JFrog发现存74%的过失是不可被利用的，经过扫描后泄漏不错被忽略。

“CVS—V3的评分要合座比V2高许多。要是按照这个礼貌，基本上用户开拓的应用约有1/3齐是‘严重’评级的过失。评级伪善会导致开拓者破钞多数时辰建筑不应该被擢升分数的过失，花费许多开拓时辰。”王青称，“JFrog更关心过失的可被利用性，咱们建议用户使用JAS (JFrog Advanced Security)来信得过地判定这个包是不是可被利用，这么才是最准确的数据，不然只看评分的凹凸对应用安全莫得太大的参考价值。”

在AI大模子方面，90%的受访者默示他们的扫描器具支握AI，90%的受访者在某种进度上支握AI的器具协助安全扫描或建筑，32%的受访者默示多数东谈主不错使用Copilot等AI器具协助代码生成，然则因为ChatGPT产生的代码可能存在过失，进步半数的东谈主觉得这一溜为存在风险。此外，由于有黑客会利用大模子的“幻觉”植入坏心包，况且任何东谈主齐能上传学问去西宾和使用大模子，是以有些回复会被指向坏心的内容。法国和英国的受访者默示，最不可能在软件开拓过程中使用AI和ML。

当今，JFrog做事着全球7400多家客户，在中国和日本阛阓增速最快，做事了进步500家客户，进步83%的钞票100强企业在使用JFrog的软件。在中国和日土产货区，JFrog的客户主要漫步在三个范围：金融行业（银行、保障、证券）、制造行业（汽车、电信制造等）、互联网行业，举例支握金融企业的枢纽业务开拓，以及“两地三中心”和高可用的决议。国内某大型股份制银行有六七千名研发，并行的接洽、下载流量很大，每天要进行十万次构建，对成品库形成了很大的挑战，JFrog为其作念了居品质能等多数的成立优化，加快了软件构建和录用的效果，并借助Xray握续扫描，发现过失后坐窝进行建筑，不停舒适客户快速、安全发布的需求。王青觉得，软件供应链的发展趋势将呈现蚁集化，不会再像每种说话齐有一个零丁的成品库作念单独的扫描，而是全说话的扫描。同期，扫描过程会更高效、更快速，软件供应链的评级也要有我方的尺度。

“咱们在中国的计谋是‘in China，for China’。” 董任远默示。面向中国阛阓，JFrog在新动力汽车等范围增长飞速，主流新动力车企的开拓运维平台齐罗致了JFrog的处治决议，JFrog也在匡助金融、制造等传统产业拓展新业务，为其业务出海提供针对性的处治决议。此外，JFrog为专有云环境作念了多数的优化和测试，包括原土的处理器、数据库、做事器、操作系统等，尤其是全线居品针对信创的适配，以舒适中国客户的需求。

部安分容及数据来JFrog《2024年全球软件供应链发展证明》

(8760227)

","del":0,"gnid":"9c0cbe95b7984e860","img_data":[{"flag":2,"img":[{"desc":"","height":"494","title":"","url":"http://p2.img.360kuai.com/t110df81bbc2752d23f23e6a4d8.jpg","width":"401"},{"desc":"","height":"630","title":"","url":"http://p1.img.360kuai.com/t110df81bbcef4e8bbb604708e7.jpg","width":"668"}]}],"original":0,"pat":"art_src_3,fts0,sts0","powerby":"cache","pub_time":1717575120000,"pure":"","rawurl":"http://zm.news.so.com/505ce1562b76d2299148af2793215b2f","redirect":0,"rptid":"87cbd71ee816a6c7","rss_ext":[],"s":"t","src":"中关村在线","tag":[],"title":"软件供应链的精确驻扎 让遮盖风险无所遁形","type":"zmt","wapurl":"http://zm.news.so.com/505ce1562b76d2299148af2793215b2f","ytag":"科技:东谈主工智能:AI技巧","zmt":{"brand":{},"cert":"中关村在线官方账号","desc":"看科技资讯，上中关村在线。","fans_num":36589,"id":"2827538037","is_brand":"0","name":"中关村在线","new_verify":"5","pic":"https://p0.img.360kuai.com/t01090bca2178f11fb9.png","real":1,"textimg":"https://p9.img.360kuai.com/bl/0_3/t017c4d51e87f46986f.png","verify":"0"},"zmt_status":0}","errmsg":"","errno":0}