数字化转型大潮之下，行业企业对于软件应用的研发和迭代需求暴增，迫切需要DevOps工具提升交付效率，提高业务敏捷性。

据IDC预测：到2024年，全球将会有5.2亿个软件应用，超过60%的企业每天都会进行版本发布，而科技企业每天会有多个版本发布。从软件交付的趋势来看，一方面很多软件都会发布到边缘节点和边缘设备上;另一方面，将来会有大量与容器相关的技术介入。

IDC指出：近年来，随着DevOps工具和技术逐渐成熟，为企业的DevOps实施奠定了基础。中国企业对DevOps总体呈现出积极拥抱、勇于尝试的态度。

伴随企业软件应用数量的快速增长，软件资产会越来越多，如何进行软件版本的管理，如何对开发、交付、运维、安全等进行高效地协同管理，是IT部门面临的一个难题。

JFROG——软件制品领域的领导者

“JFrog的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界，我们称之为流式软件。更准确的说，是做企业软件资产管理仓库。”JFrog大中华区总经理董任远如是说。

JFrog成立于2008年，2020年在纳斯达克上市，截止 2022 财年付费客户有7200+，开源版本的用户更是不计其数。

JFrog在软件制品领域拥有绝对的领导地位，从JFrog的成绩单来看：财富100强的企业中，有89%使用JFrog的软件;从财报数据来看，JFrog在过去一年的营收同比增长高达35%;过去12个月的续约留存率达128%;从细分市场来看，全球Top10的科技公司都在用JFrog，全球Top10的金融公司也在用JFrog。

JFrog 平台是面向企业开发者、运维人员、安全专员的企业通用软件制品管理仓库，支持了市面上主流的30种不同技术栈软件仓库以及二进制包的管理，并且可以轻松和各种CI/CD工具集成，在完整的软件生命周期里管理二进制的构建信息，进行安全监控以及开源许可监控。

JFrog被认为是一个单一可信源的平台，确保软件交付的一致性和可靠性，所有的构建和部署必须通过这一个可信源来发布。JFrog Artifactory里面存储了所有的软件包、容器镜像以及配置文件，被统一管理，根据需要进行发布。同时，因为由可信源发布出去，里面有很多DevOps信息，每一个环节都可以追踪，更加可控。

上图是JFrog软件供应链管理平台的整体构架。软件在构建完成后通常会存储在JFrog Artifactory制品仓库里;接下来通过JFrog Xray和JFrog Advanced Security对制品仓库里的相关存储软件以及二进制包进行安全检测、漏洞审查;如果未发现安全问题，则通过JFrog Distribution分发到各数据中心(如两地三中心)、云环境，甚至是混合云环境;最后通过这些环境，运用JFrog Connect技术发布到IoT设备上。JFrog Mission Control可视化平台可监控JFrog平台上的整个动态、工作负载和性能表现。

JFrog ARTIFACTORY的五大核心能力

作为JFrog DevOps 平台的核心，JFrog Artifactory制品仓库提供五大核心能力。

一是全语言、统一维护。代替 ftp、nexus、harbor、svn，JFrog支持30多种不同技术栈软件仓库，同时支持Docker镜像。作为唯一可信源制品库，JFrog Artifactory可对全语言配置文件进行统一管理，可大幅减少维护成本，《DevOps 成熟度》可达制品库成熟度4+级标准。

二是高可用、0宕机。很多企业管理软件涉及关键性业务，甚至是核心业务，绝不能出现宕机行为，因此高可用是非常重要的指标。JFrog 支持本地多活、双活以及集群管理，同时也支持两地三中心、不同的地域之间互为热备份，可线性扩展，支持滚动升级，能够保障开发和部署不间断，运维不背锅。

三是支持DevOps全流程的管理和元数据级质量度量。在JFrog 平台上，每个环节都可以记录其状态，记录软件包关联的Jira ID，包括构建信息、漏洞扫描结果、测试结果 等信息，提供丰富的元数据信息记录。在软件的整个流通环节中，所有信息都被传递，同时也可以被溯源，确保软件质量与安全的可靠可信。

四是实时同步、快速发布。软件构建完成后会分发到各个中心及边缘节点，软件每天的传输压力是非常大的。JFrog具备多环境实时同步能力、按需或增量分发到边缘节点的能力，支持P2P下载能力，面对上万并发下载的场景，可以做到基于checksum去重，只传输新增的部分，从而节省带宽和流量，解决多地团队制品协同管理问题，加速制品分发。

五是开源合规检测。如今，很多软件在开发的过程中会引用开源组件，这会带来一定的开源合规风险。外来组件中可能存在漏洞或恶意代码，JFrog通过进行开源扫描识别高危漏洞包，向用户提示潜在的风险，阻止受染的包上线;同时也可检查企业内部是否有不合规的开源许可，减少排查漏洞的人工成本，减少漏洞、使用场景不合规等情况所带来的不可估量的损失。

董任远介绍：JFrog制品仓库中存储了Devops数据的存储库，在统一管理企业二进制软件资产的前提下，通过与企业交付流程中不同工具链的集成，收集软件生命周期中的各类信息，对原本不透明的二进制制品进行管理，提供丰富的元数据信息记录，确保软件质量与安全的可靠可信。

JFrog支持所有主流的通用技术栈，支持无限扩展，可以自如应对各种复杂的开发场景，支持高达上万人的开发团队规模。JFrog既有单机版产品，也支持复杂集群，JFrog在中国的客户甚至达到了上百个集群的规模。同时JFrog具备多环境同步能力，支持对混合云、多云的统一部署，真正实现了软件供应链端到端的管理。

落实安全左移 实现端到端软件供应链安全

针对安全左移、DevSecOps等发展趋势，JFrog提供两大安全解决方案：一是JFrog Xray，可以实现软件SCA、安全左移，风险阻断以及开源治理等功能;二是JFrog Advanced Security，它在安全扫描领域进一步加强，可对上下文进行安全风险分析，风险检测，恶意代码管控等，可以判断漏洞是否被调用，并给出相关安全提示，让安全管理团队可以尽早对潜在的安全风险进行管控。

同时，该方案还可以对源代码进行扫描，能够发现供应链预注入的恶意代码，以及配置管理当中暴露的一些安全问题，例如糟糕的加密、操作系统问题、私钥和凭证等。

JFrog作为一家软件制品管理平台供应商，披露漏洞对于社区而言意义重大。迄今为止，JFrog已向社区等组织发布了720多个漏洞报告，1300余个恶意软件包报告，500余个0day漏洞报告，同时已发布了16款开源软件安全工具，帮助社区对用户开源软件供应链风险进行扫描和防护。

JFrog披露漏洞，一方面帮助软件开发者以及用户了解相关的安全与威胁，从而避免和减少相关的安全风险;另一方面可以促进社区的共同关注、讨论并解决问题，整体提高软件的安全度、可信度以及可靠性。

董任远强调：“JFrog有一个非常重要的能力就是跨环境多语言，我们在本地部署可以有多集群、跨区域、跨地域，同时也提供云解决方案，既有私有云方案，也有公有云方案，我们和AWS、微软Azure、Google合作，同时我们还有SaaS版本，客户根据需要可以到云平台上购买相关的JFrog服务。”

聚焦中国市场 加大投入满足中国客户需求

据了解，JFrog早期通过授权方式在中国开展相关业务部署，伴随数字化转型提速，JFrog于2021年正式进入中国市场，至今在中国已有400家客户。各行各业只要有软件开发需求的企业，都是JFrog的潜在客户，而那些在科技领域走得比较前沿的行业，以及行业中的头部企业基本上都用了JFrog的解决方案。

董任远提到，“JFrog非常重视中国市场，尤其在信创方面，最近我们一直在推进与中国本土操作系统供应商、本土芯片厂商以及本土数据库厂商之间的相互认证，响应和满足国家信创的要求。”

JFrog非常看重能否尽快满足中国客户对产品功能方面需求的能力。据悉，JFrog正在考虑加大中国市场的研发能力，以更好地满足客户的需求。同时，JFrog希望能够扩展中小企业客户，通过持续开拓合作伙伴，一起把优秀的解决方案交付给中国客户，让更多中国企业能借助JFrog的DevOps能力以及JFrog Artifactory加速软件交付，深化数智转型。