JFrog捷蛙（中国）总经理董任远：时代“造就”JFrog

根据IDC分析，到2024年，全球将会有5.2亿个软件应用。大于60%的企业每天都会发布一个自己的版本。也就是说，从整个市场环境来看，很多科技企业每天不止执行一个版本，无论是测试应用或者生产。同时，未来的趋势：一方面，很多发布的软件都会发布到边缘节点，跟大家的工作息息相关，例如手机或者个人设备上；另一方面，将来会有大量的Docker以及容器等相关的技术介入。

“全球面临着数字化转型，软件资产会越来越多，JFrog作为科技公司的使命是创造从开发人员到设备之间畅通无阻的软件交付世界，我们称之为流式软件。更准确的说，是做企业软件资产管理仓库。”JFrog捷蛙（中国）总经理董任远在接受笔者的采访时表示，随着公司软件资产逐渐增加，大家对于软件资产的管理也愈加重视，JFrog 平台是面向企业开发者、运维人员、安全专员的企业通用二进制管理仓库，支持市面上主流的30种不同技术栈软件仓库以及二进制包的管理，并且可以轻松的和各种CI/CD工具集成，在完整的软件生命周期里管理二进制的构建信息，安全监控，开源许可监控。

JFrog成立于2008年，2020年在纳斯达克上市，截止 2022 财年付费客户7200+ 。从财务看，JFrog过去一年营收同比增长35%。在过去12个月的续约存留率是128%，也就是说，许多使用了JFrog软件的客户不停的在扩容升级。

在细分领域市场，JFrog的产品收获了大量“粉丝”：全球Top10的科技公司都在用JFrog；而在中国市场，JFrog服务将近400个客户：在金融客户方面，80%的国有银行+股份制银行均使用JFrog管理企业软件资产；在汽车行业，传统汽车厂商以及新能源厂商，也基本上都是JFrog的客户。

“现在全球面临着数字化转型，软件资产会越来越多。可以说，这个时代‘造就’了JFrog。”董任远说。

从产品的角度来看，JFrog是一个单一可信源的平台，确保软件交付的一致性和可靠性，所有的构建和部署都必须通过这一个可信源来进行发布。JFrog平台的构架软件在构建完成后，通常会存储在制品仓库里，叫做JFrog Artifactory。JFrog Artifactory里面存储了所有的软件包、容器镜像以及配置文件，这些都会被统一管理，根据需要进行发布。同时，因为由可信源发布出去，里面有很多的DevOps的信息，每一个环节都可以追踪可控。

“对制品仓库里相关存储的软件以及二进制包通过JFrog的两个功能进行安全检测、漏洞审查，如果相关的安全性没有问题了，接下来就可以进行分发，通过JFrog Distribution分发到很多地方，像中国有‘两地三中心’，可以发到其他的数据中心的同时，也可以发布到云环境里甚至一些混合云环境中，最后再通过JFrog Connect专门的一项技术直接发布到IoT的Device上。”董任远透露，整个平台有JFrog Mission Control这个可视化的平台监控动态以及工作负载和性能表现。

在董任远看来，JFrog能够为客户创造的价值主要体现在五个维度：首先是全语言统一维护，JFrog支持30多种不同技术栈软件仓库，同时支持Docker镜像以及配置文件的管理。值得一提的是，JFrog可以实现跨环境多语言，在本地部署可以有多集群、跨区域、跨地域，同时也有云的解决方案，例如，私有云和公有云。而且，JFrog和AWS、微软Azure、Google一起合作，同时有SaaS版本，客户根据需要可以到云平台上购买相关的JFrog的服务。

其次，高可用零宕机。很多企业管理软件资产是关键性业务，尤其软件资产绝对不能出现宕机行为，JFrog支持本地的多活双活以及集群管理，同时，也支持两地三中心不同的地域之间互为热备份。

此外，JFrog支持DevOps全流程的管理，每个环节都可以记录它的状态，比如，软件包是否经过测试了和安全检查，所有的东西都会以元数据的形式进行处理，所有软件包在仓库里都可以溯源。

当软件构建好以后会分发到各个中心边缘节点，软件每天在传输当中是非常大的，JFrog有一个能力可以支持P2P下载，面对上万并发下载的场景，同时可以做到基于checksum去重，只传输新增的部分，这样可以节省很多的带宽跟流量，满足客户的实时发布需求。

最后是，开源合规检测。开发软件很多软件都是引用很多开源组件，开源组件有可能有风险：一是外来的组件，里面可能会产生一些漏洞，或者是恶意的代码，通过进行开源的扫描可以把潜在的风险提示给用户；另一方面，同时会看企业内部是不是有不合规开源的许可，因为开源软件如果不合规许可的软件，在某些使用场景上会带来一些法规相关的问题。

JFrog在制品仓库中存储了DevOps的元数据，在统一管理企业二进制软件资产的前提下，通过与企业交付流程不同工具链的集成，收集软件生命周期中很多的信息，对原本不透明的这种二进制制品进行管理，提供丰富的元数据的信息记录，确保软件质量与安全的可靠可信。

同时，JFrog支持主流通用所有的技术栈，支持无限扩展、使用场景和环境，可以自如的应对很多复杂的开发场景，以及上万的开发团队的规模。JFrog产品既有单机版，也可以做很复杂的集群，在中国有的客户甚至达到了上百个集群的规模。更重要的是，JFrog具备多环境同步，涉及到混合云、多云的部署，真正的实现了端到端的管理。

JFrog Xray和JFrog Advanced Security，是JFrog在软件安全扫描方面的两个产品。JFrog在很早时就意识到软件安全是非常重要的，DevOps一直在提倡安全左移，就是把安全的概念在软件开发时就去考虑到，进行相关的扫描。

“通过JFrog Xray，可以实现软件SCA、安全左移，风险阻断以及开源治理的功能；JFrog Advanced Security使安全扫描领域进一步加强，实现了漏洞进行上下文的风险分析、风险检测以及恶意代码管控，判断是不是漏洞被调用。”董任远表示，JFrog Advanced Security产品是有跨时代意义的，传统的安全扫描软件只能提供第三方的软件风险是否被引入到自研产品中，Advanced Security则判断被引入后到底产生了多大的风险，通过上下文的分析，分析软件的风险类是否被调用，让安全管理团队可以对潜在的安全风险得到进一步的风险管控。同时，通过对源代码进行扫描，可以发现恶意代码以及配置管理当中暴露的一些安全问题。这就是JFrog Xray和JFrog Advanced Security给DevOps带来的安全的理念。

写在最后

作为一家软件制品管理平台供应商，JFrog认为，披露漏洞对社区的意义非常重要：一方面可以帮助软件开发者以及用户了解相关的安全与威胁，从而避免和减少相关的安全风险。另一方面披露漏洞可以促进社区的共同讨论以及解决问题，提高软件的安全、可信度以及可靠性的整体水平。

从市场环境来看，JFrog对于中国市场非常重视。据了解，JFrog和中国本土的操作系统供应商、芯片厂商以及数据库厂商都进行了互认证，响应和满足中国市场的信创要求，“在中国，为中国”。