作為一個具備多樣化功能的開發平臺，Docker Hub為Docker 鏡像的開發、協作和分發開辟了許多可能性。目前，Docker Hub已經成為全球開發者首選的頭號容器平臺，托管著超過1500萬個存儲庫。然而，這一平臺也面臨著諸多的安全挑戰。根據JFrog安全研究表明，Docker Hub遭受協同攻擊，被植入數百萬惡意存儲庫。

無處不在的安全威脅

當前，使用多種開發語言已經成為行業主流模式。據JFrog中國技術總監王青介紹，以前主要靠C和C++語言一種語言就能搞定的時代已經過去，大多數企業會包含多種開發語言，并且容器化已經成為主流。

在此背景下，企業正在受到更多的安全挑戰。JFrog安全研究表明，通過持續掃描所有主要公共存儲庫，JFrog在NPM、PyPI和NuGet注冊表中發現數個惡意軟件包。在Docker Hub公共存儲庫中，有近 20%（近300萬個存儲庫！）托管過惡意內容，包括通過自動生成的賬戶上傳的用于推廣盜版內容的垃圾郵件，以及惡意軟件和釣魚網站等極度惡意的實體。

王青表示，JFrog在Docker Hub倉庫里發現了460萬個沒有容器數據的Docker Hub 存儲庫（又名“無鏡像”）。通過深入檢查后發現，這些被上傳的無鏡像存儲庫，絕大多數都是帶著惡意目的——它們的概述頁面試圖欺騙用戶訪問釣魚網站或托管著危險惡意軟件的網站。比如，存儲庫在描述中包含了幾個鏈接，引導用戶訪問一個釣魚網站。該網站欺騙毫無戒心的訪問者，承諾為他們購買處方藥，但隨后卻竊取他們的信用卡信息。

值得慶幸的是，越來越多的企業開始關注多開發工具帶來的安全性問題。調研數據顯示，92%的專業人士表示他們的企業至少有一個解決方案監測惡意的開源包。89%的受訪者表示他們已經采用了OpenSSF SLSA的框架。

當然，僅有42%的開發人員表示最好在代碼編寫期間執行安全掃描，相對比例并不是非常高，因此安全左移還有很大的發展空間。

王青表示，安全左移不僅落實到開發階段，要求開發者每天工作時候都要進行安全掃描。實際上，JFrog已經實現了這樣的功能，在IDE開發工具中嵌入了掃描工具。

面對惡意攻擊的應對之道

面對Docker Hub遭受的協同攻擊，JFrog提供了JFrog Curation ，即“隔離倉庫”的概念。當開發者在嘗試下載惡意鏡像時，Curation會快速地進入Docker Hub探測鏡像掃描結果，立刻生成鏡像掃描的漏洞報告，此時安全人員在Curation里設置隔離策略，就能從根本上保證安全的效果。

“惡意包會立刻被阻斷在公司內網之外，程序員無法下載惡意包進入到組織內部。”王青告訴記者，如果不小心已經通過其他方式進入到公司內部，用戶還可以開啟JFrog的安全掃描，即JFrog Xray，立刻對有漏洞的鏡像進行診斷。JFrog Xray掃描 “基于上下文的風險分析掃描”，能夠真實地判定漏洞雖然被引入，但是不是真實被利用。只有被利用才進行阻斷；如果是不被利用，不會影響組織內部的安全，就可以放行這個鏡像的使用。

王青表示，JFrog安全團隊調研了212個CVE樣本，將85%的“嚴重”CVE和73% 的“高危”CVE下調了評級，這就意味著研發團隊能夠避免付出額外精力關注漏洞分數虛高的漏洞。與此同時，JFrog能夠對漏洞進行上下文的風險分析，根據CVE對應用產生調研，判斷是不是漏洞被調用，從而確認某個漏洞的評級可以下降。有了這樣的“黑科技”技術之后，就可以將大部分漏洞不合理的評分進行下降，這意味著可以為開發者省下更多寶貴的開發時間，進行提升商業價值的任務活動。

據介紹，JFrog在Docker Hub里分析了最受歡迎的100個鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評分的漏洞。JFrog的研究團隊發現了一個重大的數據，74%的漏洞是不可被利用的。這74%經過JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發從這些修復漏洞的工作中解放出來。

面對用戶擔心的安全掃描工具費用高、管理難等問題，JFrog通過為用戶提供統一的管理平臺，來減少工具的安全掃描維護和采購的成本。王青表示，作為JFrog的一大產品特點， JFrog Xray和制品庫統一綁定，開發者用了JFrog的制品庫，就會自動獲得安全掃描能力，不需要額外購買JFrog Xray。所以，當建設好制品庫之后，研發團隊自動就獲得了安全掃描能力。

“JFrog還有一個很大的優勢，就是不限制用戶數。企業一千個人使用跟一萬個人使用，費用是一樣的。通過這樣的方式，我們切實地幫助企業在安全掃描、制品管理、供應鏈管理上提供高性價比的統一解決方案。”王青如是說。

談到軟件供應鏈參差不齊的問題，王青認為：

一是未來軟件供應鏈的發展趨勢一定是集中化，不會再像每種語言有一個單獨的制品庫做單獨的掃描，甚至每種語言要采購單獨的掃描工具去掃描。它一定是集中式的、全語言的掃描。

二是掃描一定要高效，速度要快。很多互聯網企業在軟件研發中一天都會發布多次，甚至一天能夠有上十次的版本發布，如果漏洞掃描要花一個小時才能掃完，研發團隊顯然無法接受。

三是在軟件供應鏈評級上，要有一定的標準，企業一定要去適配SLSA，要去適配安全等級，以此來保障企業軟件發布處于領先地位。

in China， for China

作為亞太區增長最快的市場，JFrog提出了 “in China， for China”的中國戰略。

JFrog大中華和日本地區總經理董任遠告訴記者，過去幾年，中國市場越來越多的基礎架構類產品已經支持了國產化，其中包括了芯片、服務器、數據庫以及中間件。對于JFrog來說，在中國的戰略就是以更合適的解決方案適配這些產品。過去一年，JFrog已經完成了在中國全線產品針對于國產信創產品的適配，并且已經有很多客戶直接將JFrog應用到其信創環境當中。

除此之外，針對中國市場特有的行業，JFrog提供了一些產品的優化以及定制化的支持。例如，針對中國汽車行業高速地發展，JFrog針對汽車行業提出了一些新的解決方案，尤其是在制品庫以及在安全領域上，為了更好地滿足中國企業的高速發展以及企業出海需求，JFrog都提供定制化的支持。

董任遠表示，針對中國市場的客戶需求，JFrog持續進行產品優化，無論客戶用什么樣的芯片，用什么樣的操作系統，在采用JFrog產品后都可以滿足最大化的性能以及效率。