数字化转型大潮之下,行业企业对于软件应用的研发和迭代需求暴增,迫切需要devops工具提升交付效率,提高业务敏捷性。
据idc预测:到2024年,全球将会有5.2亿个软件应用,超过60%的企业每天都会进行版本发布,而科技企业每天会有多个版本发布。从软件交付的趋势来看,一方面很多软件都会发布到边缘节点和边缘设备上;另一方面,将来会有大量与容器相关的技术介入。
idc指出:近年来,随着devops工具和技术逐渐成熟,为企业的devops实施奠定了基础。中国企业对devops总体呈现出积极拥抱、勇于尝试的态度。
伴随企业软件应用数量的快速增长,软件资产会越来越多,如何进行软件版本的管理,如何对开发、交付、运维、安全等进行高效地协同管理,是it部门面临的一个难题。
jfrog——软件制品领域的领导者
“jfrog的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界,我们称之为流式软件。更准确的说,是做企业软件资产管理仓库。”jfrog大中华区总经理董任远如是说。
jfrog成立于2008年,2020年在纳斯达克上市,截止 2022 财年付费客户有7200 ,开源版本的用户更是不计其数。
jfrog在软件制品领域拥有绝对的领导地位,从jfrog的成绩单来看:财富100强的企业中,有89%使用jfrog的软件;从财报数据来看,jfrog在过去一年的营收同比增长高达35%;过去12个月的续约留存率达128%;从细分市场来看,全球top10的科技公司都在用jfrog,全球top10的金融公司也在用jfrog。
jfrog 平台是面向企业开发者、运维人员、安全专员的企业通用软件制品管理仓库,支持了市面上主流的30种不同技术栈软件仓库以及二进制包的管理,并且可以轻松和各种ci/cd工具集成,在完整的软件生命周期里管理二进制的构建信息,进行安全监控以及开源许可监控。
jfrog被认为是一个单一可信源的平台,确保软件交付的一致性和可靠性,所有的构建和部署必须通过这一个可信源来发布。jfrog artifactory里面存储了所有的软件包、容器镜像以及配置文件,被统一管理,根据需要进行发布。同时,因为由可信源发布出去,里面有很多devops信息,每一个环节都可以追踪,更加可控。
上图是jfrog软件供应链管理平台的整体构架。软件在构建完成后通常会存储在jfrog artifactory制品仓库里;接下来通过jfrog xray和jfrog advanced security对制品仓库里的相关存储软件以及二进制包进行安全检测、漏洞审查;如果未发现安全问题,则通过jfrog distribution分发到各数据中心(如两地三中心)、云环境,甚至是混合云环境;最后通过这些环境,运用jfrog connect技术发布到iot设备上。jfrog mission control可视化平台可监控jfrog平台上的整个动态、工作负载和性能表现。
jfrog artifactory的五大核心能力
作为jfrog devops 平台的核心,jfrog artifactory制品仓库提供五大核心能力。
一是全语言、统一维护。代替 ftp、nexus、harbor、svn,jfrog支持30多种不同技术栈软件仓库,同时支持docker镜像。作为唯一可信源制品库,jfrog artifactory可对全语言配置文件进行统一管理,可大幅减少维护成本,《devops 成熟度》可达制品库成熟度4 级标准。
二是高可用、0宕机。很多企业管理软件涉及关键性业务,甚至是核心业务,绝不能出现宕机行为,因此高可用是非常重要的指标。jfrog 支持本地多活、双活以及集群管理,同时也支持两地三中心、不同的地域之间互为热备份,可线性扩展,支持滚动升级,能够保障开发和部署不间断,运维不背锅。
三是支持devops全流程的管理和元数据级质量度量。在jfrog 平台上,每个环节都可以记录其状态,记录软件包关联的jira id,包括构建信息、漏洞扫描结果、测试结果 等信息,提供丰富的元数据信息记录。在软件的整个流通环节中,所有信息都被传递,同时也可以被溯源,确保软件质量与安全的可靠可信。
四是实时同步、快速发布。软件构建完成后会分发到各个中心及边缘节点,软件每天的传输压力是非常大的。jfrog具备多环境实时同步能力、按需或增量分发到边缘节点的能力,支持p2p下载能力,面对上万并发下载的场景,可以做到基于checksum去重,只传输新增的部分,从而节省带宽和流量,解决多地团队制品协同管理问题,加速制品分发。
五是开源合规检测。如今,很多软件在开发的过程中会引用开源组件,这会带来一定的开源合规风险。外来组件中可能存在漏洞或恶意代码,jfrog通过进行开源扫描识别高危漏洞包,向用户提示潜在的风险,阻止受染的包上线;同时也可检查企业内部是否有不合规的开源许可,减少排查漏洞的人工成本,减少漏洞、使用场景不合规等情况所带来的不可估量的损失。
董任远介绍:jfrog制品仓库中存储了devops数据的存储库,在统一管理企业二进制软件资产的前提下,通过与企业交付流程中不同工具链的集成,收集软件生命周期中的各类信息,对原本不透明的二进制制品进行管理,提供丰富的元数据信息记录,确保软件质量与安全的可靠可信。
jfrog支持所有主流的通用技术栈,支持无限扩展,可以自如应对各种复杂的开发场景,支持高达上万人的开发团队规模。jfrog既有单机版产品,也支持复杂集群,jfrog在中国的客户甚至达到了上百个集群的规模。同时jfrog具备多环境同步能力,支持对混合云、多云的统一部署,真正实现了软件供应链端到端的管理。
落实安全左移 实现端到端软件供应链安全
针对安全左移、devsecops等发展趋势,jfrog提供两大安全凯发在线的解决方案:一是jfrog xray,可以实现软件sca、安全左移,风险阻断以及开源治理等功能;二是jfrog advanced security,它在安全扫描领域进一步加强,可对上下文进行安全风险分析,风险检测,恶意代码管控等,可以判断漏洞是否被调用,并给出相关安全提示,让安全管理团队可以尽早对潜在的安全风险进行管控。
同时,该方案还可以对源代码进行扫描,能够发现供应链预注入的恶意代码,以及配置管理当中暴露的一些安全问题,例如糟糕的加密、操作系统问题、私钥和凭证等。
jfrog作为一家软件制品管理平台供应商,披露漏洞对于社区而言意义重大。迄今为止,jfrog已向社区等组织发布了720多个漏洞报告,1300余个恶意软件包报告,500余个0day漏洞报告,同时已发布了16款开源软件安全工具,帮助社区对用户开源软件供应链风险进行扫描和防护。
jfrog披露漏洞,一方面帮助软件开发者以及用户了解相关的安全与威胁,从而避免和减少相关的安全风险;另一方面可以促进社区的共同关注、讨论并解决问题,整体提高软件的安全度、可信度以及可靠性。
董任远强调:“jfrog有一个非常重要的能力就是跨环境多语言,我们在本地部署可以有多集群、跨区域、跨地域,同时也提供云凯发在线的解决方案,既有私有云方案,也有公有云方案,我们和aws、微软azure、google合作,同时我们还有saas版本,客户根据需要可以到云平台上购买相关的jfrog服务。”
聚焦中国市场 加大投入满足中国客户需求
据了解,jfrog早期通过授权方式在中国开展相关业务部署,伴随数字化转型提速,jfrog于2021年正式进入中国市场,至今在中国已有400家客户。各行各业只要有软件开发需求的企业,都是jfrog的潜在客户,而那些在科技领域走得比较前沿的行业,以及行业中的头部企业基本上都用了jfrog的凯发在线的解决方案。
董任远提到,“jfrog非常重视中国市场,尤其在信创方面,最近我们一直在推进与中国本土操作系统供应商、本土芯片厂商以及本土数据库厂商之间的相互认证,响应和满足国家信创的要求。”
jfrog非常看重能否尽快满足中国客户对产品功能方面需求的能力。据悉,jfrog正在考虑加大中国市场的研发能力,以更好地满足客户的需求。同时,jfrog希望能够扩展中小企业客户,通过持续开拓凯发在线的合作伙伴,一起把优秀的凯发在线的解决方案交付给中国客户,让更多中国企业能借助jfrog的devops能力以及jfrog artifactory加速软件交付,深化数智转型。