传统的软件组织将开发、IT运营和质量保障设为独立分离的部门,在这种环境进行开发面临很多的问题和挑战、如各部门之间的协作、沟通等。为此,DevOps应运而生。 DevOps是开发和运营维护(operation)的总称,它始于2009年欧洲的传统IT模式,它将开发、运维与测试结合,形成了DevOps软件开发管理模式,对解决运维管理问题起到了关键作用。 DevOps软件开发面临的挑战 而作为一个软件开发工具,它必将面临网络安全问题。据JFrog中国技术总监王青的介绍,近几年,随着开源软件的使用不断增加,针对开源软件的攻击也开始激增,例如针对NPM的CVE,其发布的速度不断加快,针对NPM的恶意软件包攻击的速度也在不断上升,为开发和安全团队带来了持续不断的压力。为应对这些问题,开发人员忙得不可开交时,攻击者却仍在不断发起新的攻击。 JFrog中国技术总监王青 另外,开发者目前还面临着可能泄露密钥信息的情况,以及黑客通过机器学习模型进行投毒等挑战。王青举例表示:“在大模型社区有一个非常著名的网站——Hugging Face,该网站上存储了大量由各行各业的公司上传的一些开源模型,任何人都可以注册账号并上传模型,而且别人也可以下载这些模型文件,有些黑客就利用这种模型下载的随意性进行投毒。” 因此,从今年开始,CIO们越来越关注怎样将DevOps和安全合二为一。王青解释道:“很多企业都买了安全扫描工具,但安全人员发现这些安全扫描工具无法和DevOps流程结合起来,甚至安全工具的扫描阻止了DevOps流程的快速发布,这是一对矛盾体。怎样让这两个团队结合起来并更好的协同,是目前各大行业、公司、大型企业面临的很大挑战。” JFrog新功能助力开发者应对安全挑战 为了应对这些挑战,JFrog近日发布了很多新功能和新产品。首先是JFrog Curation,它解决了怎样把扫描左移到最左侧的痛点。JFrog Curation可以在代理仓库这一层就开始扫描,即用户在尝试使用一个新的版本的开源组件时,JFrog Curation就会通过漏洞库查询这个版本有没有发现过漏洞,如果有,下载请求会被阻断。王青表示:“这是目前只有JFrog才能够实现的功能。” JFrog此次发布的另一个新功能为JFrog SAST,这个功能是对JFrog XRAY之前二进制扫描功能的补全,新增了静态应用程序检查功能。它能够帮助开发者在自己的开发工具中直接进行代码扫描,有漏洞,开发者自己就可以发现并进行修复,JFrog也可以为开发者提供修复的代码片段,开箱即用,对开发者非常友好。 另外,JFrog还发布业界首次面向Hugging Face的原生集成,为机器学习模型管理提供强大支持,以实现DevSecOps和AI的协调一致。 JFrog发布“客户至上”全球合作伙伴计划 在发布多款新功能和新产品的同时,JFrog也宣布了其“客户至上”的全球合作伙伴计划。JFrog大中华区总经理董任远表示:“JFrog在全球的销售策略一直以直销为主,但由于JFrog近几年的快速发展,未来想要继续从头部客户往中下线中小客户迁移的话,必定需要更多合作伙伴的支持。在中国,从2022年开始就对销售渠道进行了调整,由原来单一的渠道合作伙伴变成了多地域、多伙伴的模式。这样的调整非常成功,我们希望能够把这一经验复制到全球,让更多的合作伙伴参与进来。” JFrog大中华区总经理董任远 据董任远介绍,JFrog制定的政策和传统的分销不太一样,JFrog不会对合作伙伴进行任何级别的区分,只要愿意和JFrog合作,都可以参与。另外,JFrog也会为合作伙伴提供技术资源支持,包括POC、测试等,JFrog都可提供,让合作伙伴无后顾之忧。 |
声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多企业信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。投资有风险,需谨慎。
2022-12-16
2022-12-16
2022-12-16
2022-12-15
2022-12-15