ストリーミングソフトウェア企業であり、エンタープライズソフトウェアサプライチェーンプラットフォームプロバイダーでもあるJFrogは、先日、米国で年次カンファレンス「swampUP」を開催しました。このカンファレンスは、主にDevOps分野の専門家を対象としています。

SwampUP 2024において、JFrogはJFrog Runtimeを含む、サイバーセキュリティとオペレーションにおける最新のイノベーションと新たな技術ソリューションを発表しました。また、NVIDIAやGitHubといった主要パートナーとの新しい技術や共同成果も発表し、現在の市場におけるAIと大規模モデルの重要な分野に焦点を当てました。

現在までに、JFrog は、一般的なアーティファクト、開発者アーティファクト、セキュリティ スキャン、バージョン配布、LT デバイス、大規模モデルを継続的に展開およびオーケストレーションする機能など、ソフトウェア サプライ チェーン管理のための完全なソリューションを提供しています。

JFrogグレーターチャイナおよび日本担当ゼネラルマネージャーの董仁元氏は、中国国内メディアに対し、JFrogの中国事業は2024年も継続的な成長を遂げたと述べました。中国企業は海外展開を加速させており、中国国内にデータセンターを保有するだけでなく、ターゲットとする海外市場にデータセンターを設立する企業も現れています。各データセンターでは、企業側が適切な導入を行い、現地の顧客情報を保管し、本社との連携を確保する必要があります。だからこそ、今年JFrogの技術とソリューションを購入した多くのお客様が、海外のデータセンターに導入しているのです。

董仁元氏は、JFrogの事業が2025年も中国市場、特に製造業において急速な成長を維持すると予測しています。「自動車分野には無限の可能性と機会があると考えています。中国企業がグローバル展開するにつれて、JFrog製品の需要は拡大し続けるでしょう。」

一方、董仁元氏は、ソフトウェアは上流および下流のパートナーと連携する必要があり、ソフトウェアエコシステムが極めて重要であると強調しました。JFrogは、中国市場のエコシステムは独特であると考えています。多くの中国顧客は、国産サーバー、CPU、データベース、OSなど、国産IT環境にJFrog製品を導入したいと考えています。JFrogは2～3年前から準備を進め、国産チップ、ハードウェア、ソフトウェアとの相互運用性認証を取得しました。この戦略により、JFrogは中国市場での継続的な発展と中国の技術環境に適応するための優れたツールを獲得しています。

さらに、JFrogはSwampUP 2024で以下の新サービスも発表しました。早速見ていきましょう。

ソフトウェアサプライチェーンのセキュリティ管理を強化する

JFrog ChinaのテクニカルディレクターであるWang Qing氏は、ソフトウェアサプライチェーンを標的とした攻撃が業界全体で100倍に増加していると説明しました。ソフトウェアサプライチェーンプロセス全体を通して、ソフトウェアパッケージの作成、パッケージ化、配布、展開の過程で、さまざまなサイバー攻撃が発生する可能性があります。

この深刻な状況を受け、JFrogは今年9月に新製品、そして同社初のランタイムセキュリティソリューションであるJFrog Runtimeをリリースしました。このソリューションにより、企業はソースコードの作成、バイナリのデプロイ、そして本番環境への導入に至るまで、開発プロセスのあらゆる段階にセキュリティをシームレスに統合できるようになります。

Wang Qing 氏は、JFrog Runtime が 2 つの側面から潜在的なセキュリティ脆弱性を特定できると説明しました。

まず、ランタイムイメージの整合性の問題があります。一部の攻撃では、悪意のあるパッケージや脆弱なパッケージなどの悪意のあるイメージを本番環境にインポートし、Artifactoryを回避して目的を達成するという手法が用いられます。この機能は、対応するイメージがArtifactoryからプルされたかどうかを検出し、そうでない場合はシステムが直ちに警告を発します。

第二に、ランタイムへの影響があります。JFrogは、Xrayの基本機能とAdvanced Securityの高度なスキャン機能をランタイム領域に統合しています。これにより、特定のPodを選択すると、その脆弱性の数とイメージに含まれる脆弱性リスクのレベルが明らかになり、セキュリティチームは即座にパッチを適用できます。さらに、脆弱なPodが既に環境内で実行されている場合でも、高リスクの脆弱性が検出された場合、システムはセキュリティチームに即座に対応を促し、アプリケーションが高リスクにさらされるのを防ぎます。JFrogは悪意のあるパケットスキャンも提供しており、Kubernetesクラスターを検出し、悪意のあるパケットによる攻撃を防御します。

「現在、業界のあらゆるセキュリティ製品の中で、イメージ整合性検証を提供できるのはJFrogだけです」と王青氏は強調しました。既存のセキュリティツールはセキュリティのみに対応しており、イメージメディア管理機能は備えていないと王氏は説明します。JFrogの独自性は、統合されたイメージメディア管理機能とセキュリティスキャン機能を統合していることにあります。そのため、JFrogはイメージ整合性検証を提供し、Kubernetesランタイム環境のPodによってプルされたイメージが、Artifactoryに保存されているイメージと整合性があることを保証します。これにより、開発者が開発中に使用するイメージと本番環境で使用されるイメージの整合性が保証され、追加のコミュニケーションコストやバージョンエラーによる問題を回避できます。

NVIDIAとの統合

NVIDIAはアクセラレーテッドコンピューティングの世界的リーダーであり、そのGPUは大規模モデルを扱う多くのチームにとって不可欠なハードウェアです。NVIDIAの強みは、大規模モデルの推論に必要な並列コンピューティングにあります。従来、NVIDIAモデルのデプロイメントは、NVIDIA Model Centralリポジトリからモデルを取得し、NVIDIAトレーニングクラスターにデプロイする必要がありました。

JFrogは、ユーザーがArtifactoryをローカルでセットアップするための機能を提供します。NGCを介してNVIDIAのモデルセンターをプロキシすることで、モデルをエンタープライズ内にキャッシュできます。ローカルKubernetesクラスターからイメージとモデルをプルする場合、Artifactoryからプルできます。

王青氏は、このアプローチにはいくつかの利点があると述べています。まず、イメージやモデルのプル速度が向上します。次に、企業がモデルをローカルで管理できるようになります。さらに、JFrog Xrayは大規模なモデルをスキャンして悪意のある攻撃を検出できるため、企業はモデルリポジトリ内の悪意のあるモデルによる攻撃のリスクを回避できます。

GitHubとの統合

王青氏は、GitHubの強みはソースコード管理にあり、弱点はアーティファクト管理にあると説明した。現在、JFrogとGitHubは緊密な連携を進めており、開発者にプロジェクトの状況とセキュリティ体制を示す包括的なビューを提供することで、両社の高度なセキュリティ製品によって発見された潜在的な脆弱性を迅速に解決できるようにしている。

企業ユーザーがGitHubをソースコード管理およびビルドプラットフォームとして利用している場合、GitHub ArtifactoryビルドページにJFrogへのリンクが明確に表示されます。開発者は脆弱性情報を確認するためにJFrogにアクセスする必要がなくなり、GitHub上ですべてを確認できるため、非常に便利です。

JFrogとGitHubは提携し、Copilot Chat拡張機能をリリースしました。この新しいGitHub Copilot拡張機能は、JFrogバイナリ環境内のオープンソースソフトウェアパッケージとGitHubコードデータに関する詳細な情報を提供します。開発者は、ドキュメントやオンラインフォーラムを検索することなく、セキュリティと市場アプリケーションに基づいてパッケージを選択できるため、開発プロセスとセキュリティ監視プロセスにおけるコミュニケーションコストを大幅に削減できます。

さらに、双方向のエンドツーエンドのリリーストレーサビリティも実現しています。GitHubの新しいジョブサマリーページでは、開発者は各GitHub Actionsワークフローの実行状況とセキュリティステータスを一目で確認できます。各ビルドの出力パッケージを確認し、JFrog Artifactory内の該当箇所に簡単に移動して元のページに戻ることができます。この双方向ナビゲーションは、JFrog Artifactoryに保存されているソフトウェア部品表（SBOM）を活用してソフトウェアのトレーサビリティを強化し、ソースコードからアーティファクトの配布、そして全体的なセキュリティに至るまで、エンドツーエンドのソリューションを実現します。（Guo Qing）