JFrog建起大模型仓库 打造软件开发全生命周期安全盾牌

作者：孙妍 来源：IT时报

国内正在掀起“百模大战”，国内外中小企业也在不断创造自己的行业模型，百花齐放之时，更要重视潜在的安全威胁。

12月5日，流式软件公司、企业软件供应链平台提供商JFrog发布了两大技术功能，一是推出了机器学习（ML）模型管理功能，相当于建立了一个大模型安全仓库；二是推出了从构建到发布全流程保护软件安全的端到端平台，相当于给软件开发的全生命周期搭建了安全盾牌。

大模型安全仓库 面向Hugging Face的原生集成

IDC 研究表明，包括软件、硬件和服务在内的全球 AI/ML市场预计将在 2023 年增长 19.6%，超过 5000 亿美元。但是，多数大模型是基于开源大模型来打造的，往往会遇到成本、扩展能力受限等问题，更严重的是，开源大模型潜藏着较大的安全漏洞，有些黑客已经开始通过开源大模型“投毒”。

JFrog推出了机器学习模型管理功能，提供面向AI大模型平台Hugging Face的原生集成，相当于一个经过安全检测的大模型仓库，这是业界首套简化机器学习模型管理和安全的功能。

将AI大模型从头到尾部署到生产中需要耗费大量时间和精力。然而，即使投入生产，也会面临模型性能、模型漂移和偏差等挑战。因此，拥有一个单一的记录系统，帮助实现AI大模型的自动开发、持续管理和安全性，所有其他组件打包到应用程序中，这样就能够为优化流程提供一个令人信服的替代方案。

于是，JFrog这一机器学习模型管理功能将AI交付与企业现有的软件开发流程保持一致，从而加速、保护和管理AI大模型组件的发布。

在软件开发过程中，如果没有通用的流程，往往会导致团队间的摩擦，整体产品组合在管理和合规性方面缺乏标准。“很多软件开发团队已经将JFrog视为制品管理和DevSecOps流程的黄金标准。数据科学家和软件工程师开发了现代化AI功能，他们已经是 JFrog 的原生用户。随着我们将机器学习模型管理以及模型安全性和合规性引入统一的软件供应链平台，以帮助他们在AI时代大规模交付可信软件。”JFrog 联合创始人兼首席技术官Yoav Landman 表示。

全生命周期的盾牌 业界首个加速安全软件开发的平台

有研究表明，市场上多达97%的应用程序都使用开源软件。虽然开源仓库有助于节省时间，但也成为了网络罪犯的主要目标。因为只需破坏开源库中的一个软件包，这些恶意攻击者就能获得多家企业的后门访问权限，给全球数百万开发者的工作带来安全隐患。

2022 年，全球 1700 家企业遭受到软件供应链攻击，超 1000万人受到影响，其中几乎所有攻击都包含一些错误或恶意的开源代码。

JFrog软件供应链平台推出了新功能，在软件开发的全生命周期注入二进制级别的安全性，助力企业安全合规地创建、生产和发布软件，安全扫描工具和流程不再是两个无法协同的“烟囱”。

其实，JFrog一直在开发以DevOps为中心的安全解决方案。在二进制层面，JFrog实现了DevSecOps 流程的自动化，这被业界认为是保护其软件供应链行之有效的方法。目前，JFrog的安全功能已经涵盖开源和第一方代码、机密检测、IaC 安全和OSS软件包的创建，如今还开发了针对AI大模型的安全功能。

“随着软件供应链攻击的惊人增长，在二进制层面上使用不可变的软件发布包来确保安全变得至关重要，因为这是证明发布的软件可以安全使用的唯一方法。”JFrog安全席技术官Asaf Karas表示。

全球合作伙伴计划

过去几十年里，全球IT企业发生了巨变，企业的IT成本支出已从2003年的24亿美元增长到2023年的4.6万亿美元。随着云原生技术的出现，企业正在寻找采购、使用和维护自身软件供应链的新方法，这将是一大机会。

目前，JFrog的合作伙伴主要集中于头部大企业，比如众多全球财富100强公司，在中国国内也有300家企业是其合作伙伴，如何从头部公司向中小企业拓展？

近日，JFrog推出全球渠道合作伙伴计划，合作伙伴可以通过第三方采用JFrog解决方案，从而获得新的营收来源，合作方式有共同销售、转售等。

JFrog大中华区总经理董任远表示，在过去一段时间，JFrog大中华区将支持中国自主技术作为关键，未来，JFrog将帮助更多中国企业进行全球战略布局。