加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權(quán)保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
    • 致力于適配國產(chǎn)化基礎(chǔ)架構(gòu)
    • 全球軟件供應(yīng)鏈安全挑戰(zhàn)及趨勢
    • 對區(qū)域市場安全實踐的展望
    • Docker Hub遭受協(xié)同攻擊,JFrog和Docker聯(lián)手采取緩解和清理措施
    • 中國市場的挑戰(zhàn)和前景
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

從本土化到安全發(fā)展,軟件供應(yīng)鏈如何與時俱進?

06/06 08:00
1198
閱讀需 11 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

JFrog及其打造的全球性的全語言開發(fā)運維平臺,服務(wù)了全球約7400家客戶。它致力于創(chuàng)造一個從開發(fā)者到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應(yīng)鏈平臺是統(tǒng)一的記錄系統(tǒng),能夠幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。在數(shù)字化轉(zhuǎn)型趨勢下,JFrog近年來在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長,其中,中國是亞太區(qū)增長最快的區(qū)域。

日前,JFrog大中華和日本地區(qū)總經(jīng)理董任遠和JFrog(中國)技術(shù)總監(jiān)王青接受了<與非網(wǎng)>等媒體采訪,就軟件供應(yīng)鏈發(fā)展現(xiàn)狀、最新的安全研究調(diào)研以及JFrog在中國市場的發(fā)展與行業(yè)展望進行了深入交流。

致力于適配國產(chǎn)化基礎(chǔ)架構(gòu)

據(jù)董任遠介紹,在中國和日本,JFrog服務(wù)超過500家主要頭部品牌,包括83%以上的財富100強企業(yè),客戶主要集中在金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。特別是在金融行業(yè),JFrog提供了高性能和高可用性的解決方案,能夠滿足關(guān)鍵業(yè)務(wù)開發(fā)的需求。隨著中國互聯(lián)網(wǎng)行業(yè)的持續(xù)發(fā)展,JFrog也對頭部品牌提供了良好的支持。

在中國,JFrog采取"in China, for China"的戰(zhàn)略,致力于適配中國市場日益增長的國產(chǎn)化基礎(chǔ)架構(gòu)產(chǎn)品,如芯片、服務(wù)器、數(shù)據(jù)庫中間件。過去一年,JFrog完成了全線產(chǎn)品對國產(chǎn)信創(chuàng)產(chǎn)品的適配,并已有客戶將JFrog產(chǎn)品應(yīng)用于信創(chuàng)環(huán)境。針對中國市場特有的行業(yè)發(fā)展需求,JFrog提供產(chǎn)品優(yōu)化和定制化支持。

他表示,JFrog在中國市場的快速增長主要體現(xiàn)在兩個方面:新業(yè)務(wù)增長和傳統(tǒng)業(yè)務(wù)增長。新業(yè)務(wù)增長主要源自汽車行業(yè),尤其是新能源車領(lǐng)域的快速發(fā)展,JFrog為這些企業(yè)提供了適應(yīng)其開發(fā)運維平臺的解決方案;傳統(tǒng)業(yè)務(wù)增長則來自于金融、制造等行業(yè)的企業(yè)出海,JFrog幫助這些企業(yè)實現(xiàn)全球化的開發(fā)運維部署。

面對中國市場的獨特需求和挑戰(zhàn),JFrog采取了本地化策略和發(fā)展規(guī)劃。由于中國客戶傾向于使用私有化部署,尤其是在國產(chǎn)化的私有云解決方案上,JFrog對產(chǎn)品進行了調(diào)優(yōu)和測試,以確保在國產(chǎn)CPU、數(shù)據(jù)庫、服務(wù)器和操作系統(tǒng)上能夠順暢運行并發(fā)揮最高性能。此外,JFrog還支持金融等行業(yè)客戶將開發(fā)運維平臺遷移到信創(chuàng)環(huán)境,幫助他們完成相關(guān)部署。

全球軟件供應(yīng)鏈安全挑戰(zhàn)及趨勢

為了加強行業(yè)對軟件供應(yīng)鏈安全重要性的認(rèn)識,并提供對軟件供應(yīng)鏈管理的深入見解,JFrog Research團隊近期發(fā)布了一份全球軟件供應(yīng)鏈發(fā)展報告。該報告基于安全團隊的CVE分析和對1224名安全、開發(fā)、運維人員的第三方調(diào)研。報告主要包含四大核心點:

第一,軟件供應(yīng)鏈的構(gòu)成。報告分析了AI的崛起對供應(yīng)鏈的影響,以及多種開發(fā)語言和容器化技術(shù)成為主流的現(xiàn)狀。第二,隱藏的風(fēng)險。報告中探討了使用多種語言包時可能遇到的挑戰(zhàn),如開發(fā)者密鑰的安全、漏洞爆發(fā)對應(yīng)用的影響,以及前后端漏洞影響范圍的區(qū)別。第三,如何面對已知安全風(fēng)險。該報告基于用戶訪談,展示了自動化在安全修復(fù)中的應(yīng)用比例,以及企業(yè)在安全修復(fù)上所花費的時間和成本。第四,AI的涌入。報告分析了企業(yè)對AI應(yīng)用的理解程度和接受度。

針對這些核心點,王青分享了一些關(guān)鍵發(fā)現(xiàn):

首先,根據(jù)JFrog Catalog產(chǎn)品的數(shù)據(jù)調(diào)查,大多數(shù)企業(yè)已經(jīng)采取了措施來監(jiān)測和管理開源軟件包的安全問題。其中,92%的專業(yè)人士認(rèn)為他們的企業(yè)至少有一個監(jiān)測惡意開源包的解決方案,89%的受訪者表示已經(jīng)采用了谷歌主導(dǎo)的OpenSSF SLSA框架(這是一個國際廣泛接受的軟件供應(yīng)鏈安全標(biāo)準(zhǔn))。在開發(fā)人員中,42%認(rèn)為最好在代碼編寫期間執(zhí)行安全掃描,48%的受訪者在代碼掃描時進行手動檢查代碼,而非自動掃描。只有1%的受訪者實現(xiàn)了代碼審查完全自動化。

一個行業(yè)痛點值得關(guān)注:約25%的安全團隊花費大量時間修復(fù)可能被過度評估或不適用于他們應(yīng)用的漏洞,導(dǎo)致許多開發(fā)人員將寶貴的時間浪費在修復(fù)不必要的漏洞上,而非從事能夠提升商業(yè)價值的工作。

第二,在安全實踐方面,59%的企業(yè)在構(gòu)建時進行安全掃描;靜態(tài)應(yīng)用程序安全測試(SAST)是最常用的解決方案,占61%。

動態(tài)應(yīng)用程序安全測試由于耗時比較長,有58%的公司進行這一安全測試;同時,軟件構(gòu)成分析的測試占比58%,得益于掃描快速,這個數(shù)字提升潛力巨大,包括JFrog本身就能做軟件構(gòu)成分析的掃描;56%的企業(yè)實現(xiàn)了API安全掃描。

第三,漏洞影響方面,JFrog安全團隊對85%的嚴(yán)重CVE和73%的高危CVE進行了評級下調(diào),幫助研發(fā)團隊避免關(guān)注虛高的漏洞分?jǐn)?shù)。同時,JFrog可以對漏洞進行上下文風(fēng)險分析,確認(rèn)許多漏洞的評級可以下降,從而節(jié)省開發(fā)者的時間。在Docker Hub中分析的100個最受歡迎的鏡像中,74%的CVE漏洞實際上不可被利用,意味著這些漏洞可以被忽略。

第四,在AI/ML工具的使用方面,90%的受訪者表示他們的掃描工具支持AI,32%的企業(yè)使用AI工具如Copilot協(xié)助代碼生成,但同時也意識到使用AI/ML工具可能帶來的風(fēng)險,如惡意訓(xùn)練和植入惡意包的問題。

對區(qū)域市場安全實踐的展望

王青分享了不同區(qū)域的安全解決方案使用情況:

在印度,65%的受訪者使用十個或更多的安全解決方案。相比之下,中國、法國、德國、以色列和英國的受訪者中約有一半使用六種或更少的應(yīng)用安全解決方案,表明這些地區(qū)傾向于使用統(tǒng)一平臺進行安全掃描。

漏洞修復(fù)時間方面,54%的印度受訪者指出,開發(fā)人員通常每月花費一周或更長時間修復(fù)漏洞。

對AI和ML的采用態(tài)度方面,法國和英國的受訪者表示,他們最不可能在軟件開發(fā)過程中使用人工智能機器學(xué)習(xí)技術(shù)。

Docker Hub遭受協(xié)同攻擊,JFrog和Docker聯(lián)手采取緩解和清理措施

JFrog還與Docker聯(lián)合進行了一項調(diào)研,發(fā)現(xiàn)Docker Hub遭受協(xié)同攻擊,被植入數(shù)百萬惡意存儲庫。

Docker Hub作為一個為開發(fā)者提供多樣化功能的平臺,為Docker鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前,它是全球開發(fā)者首選的頭號容器平臺,托管著超過1500萬個存儲庫。

JFrog通過分析Docker Hub的存儲庫發(fā)布模式,識別出了異常行為,并發(fā)現(xiàn)約460萬個無鏡像存儲庫中的281萬個與這些惡意活動有關(guān)。Docker Hub迅速響應(yīng),下架了所有被標(biāo)記為惡意的存儲庫。

JFrog的發(fā)現(xiàn)和Docker的快速響應(yīng)凸顯了持續(xù)監(jiān)控公共平臺的重要性,雙方提醒用戶在使用這些平臺時要保持警惕,為了防范類似攻擊,用戶應(yīng)優(yōu)先使用Docker Hub中標(biāo)記為“可信內(nèi)容”的鏡像,并注意官方鏡像標(biāo)簽、已驗證發(fā)布者和贊助OSS標(biāo)簽。

中國市場的挑戰(zhàn)和前景

談及中國市場的發(fā)展和規(guī)劃時,王青從軟件供應(yīng)鏈安全角度進行了分享:首先,未來的軟件供應(yīng)鏈將趨向集中化,不再需要為每種語言單獨采購掃描工具,而是實現(xiàn)全語言的集中式掃描;其次,鑒于互聯(lián)網(wǎng)企業(yè)頻繁的版本發(fā)布,漏洞掃描必須高效快速,以適應(yīng)快節(jié)奏的研發(fā)需求;第三,企業(yè)需要適配如SLSA等安全等級標(biāo)準(zhǔn),確保軟件發(fā)布處于行業(yè)領(lǐng)先地位。

董任遠認(rèn)為,中國市場跟其他市場的主要區(qū)別在于擁有很多國產(chǎn)新設(shè)備。過去幾年,中國在技術(shù)創(chuàng)新上有很多的突破,無論是硬件、軟件等,涌現(xiàn)出很多國產(chǎn)化需求。因此,JFrog在適配中國客戶需求的過程中,需要保持多樣性以及最大范圍的兼容。同時,JFrog也針對中國客戶需求進行了優(yōu)化,確保無論使用何種硬件或軟件平臺,客戶都能獲得最大化的性能和效率。

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風(fēng)險等級 參考價格 更多信息
MCF52258CAG66 1 Rochester Electronics LLC 32-BIT, FLASH, 66MHz, RISC MICROCONTROLLER, PQFP144, 20 X 20 MM, ROHS COMPLIANT, LQFP-144
$12.68 查看
STM32F030C8T6TR 1 STMicroelectronics Mainstream Arm Cortex-M0 Value line MCU with 64 Kbytes of Flash memory, 48 MHz CPU

ECAD模型

下載ECAD模型
$3.41 查看
MK10DX64VLH7 1 Freescale Semiconductor Kinetis K 32-bit MCU, ARM Cortex-M4 core, 64KB Flash, 72MHz, QFP 64
$6.77 查看

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

與非網(wǎng)資深行業(yè)分析師。主要關(guān)注人工智能、智能消費電子等領(lǐng)域。電子科技領(lǐng)域?qū)I(yè)媒體十余載,善于縱深洞悉行業(yè)趨勢。歡迎交流~