在當今數字化時代,軟體供應鏈安全已成為資訊安全領域的熱點話題。軟體供應鏈安全的意義在於確保軟體產品的完整性和可靠性。
在軟體開發過程中,涉及到多個環節,包括需求分析、設計、編碼、測試、部署和維護等。這些環節往往需要依賴各種開源組件、第三方庫和工具,形成了一個複雜的供應鏈。如果供應鏈中任何一個環節出現安全問題,都可能對整個軟體系統造成嚴重影響,甚至引發系統性風險。
全球軟體供應鏈安全研究報告
JFrog中國技術總監王青詳細介紹了《2024年全球軟體供應鏈發展報告》,其結合了超過7000家企業的JFrog Artifactory開發者使用數據、JFrog安全研究團隊原創的CVE分析、以及委託第三方對全球1200名技術專業人士進行的調查數據,旨在為快速發展的軟體供應鏈領域提供資訊參考。
報告顯示,目前軟體供應鏈中隱藏著大量風險,包括各種語言包、開發密鑰、容器化等。為應對這些風險,企業需要建立軟體供應鏈安全體系,包括在開發階段進行安全掃描、使用統一的平台管理安全等。
在開發人員里,42%的人表示最好在代碼編寫期間執行安全掃描,相對比例並不是非常高,因此安全左移還有很大的發展空間。
48%的受訪者表示,他們代碼掃描的時候,是手動檢查代碼,並非自動掃描。這是缺乏效率的表現,只有1%的受訪者表示,他的代碼審查實現完全的自動化。
報告還指出,AI和ML技術在軟體供應鏈安全方面發揮著越來越重要的作用。
王青表示,JFrog通過Curation和Xray等工具幫助企業避免惡意鏡像,實現安全左移。同時,JFrog一站式平台可降低企業安全成本,提升效率。王青建議中國企業建立統一的軟體供應鏈安全平台,並使用高效、快速的安全掃描工具。
在軟體供應鏈安全方面,王青認為未來企業將建立標準化的安全評級體系。JFrog的產品已支持軟體物料清單標準,可幫助企業實現軟體供應鏈的端到端安全。
JFrog中國市場增長強勁
JFrog大中華和日本地區總經理董任遠表示,JFrog在全球服務了約7400家客戶,其中中國及日本客戶超過500家,主要集中在金融、製造和網際網路三大行業。
JFrog在中國市場業務保持快速增長,2023年和2024年初是亞太區增長最快的區域。董任遠說,中國市場的快速增長來自兩個方面,一方面是新業務的增長,比如汽車行業特別是新能源汽車,新能源車企的開發運維平台普遍採用了JFrog的解決方案。另一方面是傳統行業客戶比如金融、製造等進行「出海」,JFrog幫助這些企業針對全球化的開發運維部署提供了解決方案。
針對中國市場的特點,JFrog全面適配國產化軟硬體,並推出汽車等行業解決方案。未來JFrog將不斷優化產品,更好地服務中國客戶。
結語
總體來看,JFrog在中國市場取得了顯著的發展成績,並持續關注中國市場的特點,以更好地服務中國客戶。在軟體供應鏈安全方面,JFrog將不斷優化產品,為企業提供全方位的安全保障。
