随着ChatGPT的风靡，大模型技术备受瞩目，2023年被誉为大模型元年，AI和ML用户数量正迅速增长。IDC研究表明，包括软件、硬件和服务在内的全球 AI/ML 市场预计将在2023年增长19.6%，超过5000亿美元。

实际上，将 ML 模型从头到尾部署到生产中需要耗费大量时间和精力。即使投入生产，用户也会面临模型性能、模型漂移和偏差等挑战。因此，企业迫切需要一款全面的软件供应链开发管理平台，实现ML模型的自动开发、持续管理，并确保使用AI的安全性。

近日，JFrog发布了业界首款致力于加速安全软件的构建和发布的端到端平台，以及包括Curation、开源软件(OSS)目录、静态应用程序安全测试(SAST)、AI和ML模型安全性(MLOps)在内的一系列新功能。这些新功能将持续满足客户对全面的、以DevOps为中心的安全性和自动化的需求，从而推动真正的安全左移战略。值得一提的是，JFrog全新DevOps功能实现与Hugging Face的原生集成，为机器学习模型管理(MLOps)提供强大的支持，以实现DevSecOps和AI的协调一致。

JFrog大中华区总经理董任远提到：“JFrog提供制品库服务，创造一个从开发、测试、运维、数据中心到设备之间的软件交付环境。同时JFrog还为用户提供新的安全功能，实现对软件漏洞和不安全因素的即时检查。”

JFrog大中华区总经理 董任远

作为一家流式软件公司、企业软件供应链平台提供商，JFrog软件供应链平台是统一的记录系统，帮助企业快速安全地构建、管理和分发软件，确保软件可用、可追溯和防篡改。全球数百万用户和7200多家客户，包括大多数财富100强企业，依靠JFrog解决方案安全地开展数字化转型。

JFrog中国技术总监王青表示：在对互联网和公有NPM仓库上的400万个包进行扫描后JFrog发现，超过25万个TOKENS被检测到存在密钥泄露问题，企业应对内部员工在开发过程中可能泄露敏感信息的风险引起充分重视，且需要及时排查。

此外，通过机器学习模型进行投毒的问题也备受关注。通过Hugging Face等大模型社区，黑客可注入恶意代码到下载的模型文件中，利用模型下载的随意性进行投毒。这种隐蔽的攻击方式使得开发者难以察觉，防不胜防。

面对多样化的制品管理安全挑战，许多企业缺乏一个统一管理制品的平台和全面的安全扫描能力。在此背景下，JFrog提供了两大核心能力。首先是制品的全面管理，通过Artifactory和Distribution两个组件有效实现版本的内部管理和异地分发。其次，是与安全相关的JFrog Artifactory，JFrog XRAY加入高级扫描能力，用于持续检测开源软件中的安全性与合规性问题。这两大核心能力是大多数企业的刚需，可以为软件研发团队提供全方位的保障。

近两年，CIO们对安全软件的关注度正日益提升。尽管很多企业引入了安全扫描工具，却很难与DevOps流程相结合，甚至妨碍了DevOps流程的快速发布。

为解决上述挑战，JFrog推出了多款新功能和新产品。首先是JFrog Curation，通过在代理仓库层面进行扫描，在用户尝试使用新版本的开源组件之前，就能通过漏洞库查询这一版本是否存在已发现的漏洞，如果存在，下载请求将被阻断，并通知管理员。这项业界领先的功能可在远程仓库层面进行阻断，为软件安全提供更早期的保障。

此外，Curation还内置CATALOG功能，可在内网搜索并使用第三方软件，为开发者提供一个可信的开源软件依赖库，从源头上保障软件安全。未来JFrog还将提供私有目录功能，将审批过的版本保存在企业内部，以私有仓库形式供员工使用。

新功能JFrog SAST(静态应用程序安全测试)是对现有JFrog XRAY二进制扫描功能的增强。除了XRAY扫描提供的上下文分析、密钥监测、配置检查和容器检查之外，还引入了静态应用程序检查，允许开发者在自己的开发工具中直接进行代码扫描，使其能够及时发现并修复潜在漏洞。

此外，JFrog还率先实现了与Hugging Face仓库的原生集成，通过Artifactory实现对Hugging Face的远程登录、下载及模型的上传，并可扫描仓库中License的合规性，从而助力开发者高效的下载、调优和管理大模型，提高开发效率。

JFrog 大中华区总经理董任远还分享了JFrog 2023年在中国市场取得的突破，以及JFrog最新的渠道政策。

据悉，以往JFrog的销售策略以直销为主，但随着业务迅速发展，需要借助合作伙伴之力实现从头部客户到中小客户的全面支撑。JFrog在全球采取灵活的渠道政策，而在中国市场，JFrog从2022年初就开始从单一渠道合作伙伴转向多地域、多伙伴的合作模式。目前，JFrog在北京、上海、广州、深圳、香港、台湾等城市都有本地合作伙伴，可以更好地服务中国客户。

JFrog推出的全球合作伙伴计划打破了传统的分级分销模式，采用了“客户至上”的理念，鼓励合作伙伴与之平等合作，不受级别限制。JFrog承诺积极提供技术资源和全方位支持，包括进行POC和测试，旨在在培训客户的同时培养合作伙伴的能力。对于代理商合作伙伴，JFrog制定了全面的培训计划，以提升其技术水平和增值服务能力。

在业务方面，JFrog平台提供以制品库和XRAY等为核心的七个产品。“JFrog深刻认识到中国市场的独特性。中国拥有迅猛发展的本地技术，涵盖芯片、操作系统和软件等各个领域。作为仓库提供商，JFrog注重与供应链各环节的紧密衔接，因此对中国技术的全面支持显得尤为关键。”董任远如是说。

秉持着“In China, For China”理念，JFrog加大了在中国的研发力度和技术团队建设，致力于为中国客户打造具有本土特色的软件制品管理模式。正因如此，JFrog在2023年的业务实现迅猛增长，与2022年相比涨幅超过一倍。

展望未来，JFrog期望通过合作伙伴计划，与技术合作伙伴共同提供一流的DevSecOps解决方案，以满足客户不断变化的增长和需求，促进业务增长和客户创新。