MLOps at JFrog with Bill Manning
50:24 Share

 

</context> <raw_text>0 JFrog是一个专注于管理软件包和自动化软件交付的DevOps平台。其最著名的服务之一是JFrog Artifactory，这是一个通用的工件库。JFrog还专注于快速出现的ML Ops领域。Bill Manning是JFrog的高级解决方案架构师。

他参加播客，谈论他在初创公司和风险投资方面的背景，以及他在JFrog的机器学习工作。本集由Sean Falconer主持。请查看节目说明以获取有关Sean工作和联系方式的更多信息。

Bill，欢迎来到节目。非常感谢你邀请我，Sean。我真的很期待今天的讨论。是的，当然。感谢你在这里。所以我很高兴能更多地谈论JFrog和DevSecOps以及你的一些专业领域。但首先，我想深入了解一下你的背景。你是谁？你做什么？请解释一下你在JFrog的角色。

是的，当然。我在JFrog工作快八年了。在加入JFrog之前，我已经做了很长时间的工作，我的职业生涯始于97年。是的，我并不老，这就是我所做的。但我有过非常成功的经历。我经历了三次收购。我从职业生涯开始时就一直选择不同的技术。

我第一家公司是第一个基于网络的CRM平台。很多在那里工作的人后来成立了像Marketo、SugarCRM和Salesforce这样的公司。我做的下一家公司是电子邮件加密和安全，我们在2006年将其出售给了思科。第三家公司是物联网。在物联网甚至成为一个概念之前，它叫做4Home。它是一家连接设备公司。我们在2010年将其出售给了摩托罗拉和谷歌。我曾是一名风险投资家。我在沃达丰风险投资公司担任高级媒体合伙人。

我还做过另一家公司叫XTV，专注于媒体消费，并在澳大利亚上市。之后我还与一些初创公司合作。我也是一名导师。然后在八年前我加入了JFrog，当时他们正处于公司中期。我有一些朋友在这里，他们说，我们希望你能来给出你的意见。从那时起，我一直是一名解决方案工程师、解决方案架构师，管理这里的团队。我做的事情包括一点市场营销、销售等等。目前，我实际上正在转型进入机器学习领域。

因此，我们的JFrogML平台是我们今年刚推出的，随着Quack的收购，我现在加入了该团队，负责市场推广策略。此外，还包括教育和相关事务。所以这就是我。

这太棒了。是的。我是说，听起来你有广泛的经验，所以无论问题领域是什么，你都可以成为终极的填补者。你可以跳进去并为其增添一些东西。在某种程度上是万事通。我在初创公司时期学会了从法律到市场营销的所有事情，因为我必须这样做。没有选择。

是的，我有类似的经历，我创办了一家公司，

你知道，我是那家公司的CTO，在此之前主要有工程方面的经验。实际上，我获得商业学位和市场营销文凭的方式是因为没有其他人来做这些事情。你被迫去做。我认为这是，

让我走上了一条我可能永远不会走的职业道路，如果我不是作为创始人参与其中的话。你得到了实践MBA，我称之为对吧？你得到了动手的MBA。MBA学校教的东西，你是通过艰难的方式学到的。是的，确实如此。我犯了很多愚蠢的错误。哦，是的。我会第一个承认这一点。我会说，哦，那真是愚蠢。

所以在选择合适的公司或成功退出的公司方面，你的职业生涯相当辉煌。你的策略是什么？你是如何能够选择这些公司的？在很多方面，我是一个非常奇怪的人。很多朋友都这样说我。行业内认识我的人。有一个来自某个风险投资公司的家伙，我不会说他是谁，但他称我为他的幸运兔脚。我似乎能够提前嗅出技术。有时我实际上曾经与我所合作的技术或我们所创办的公司，或者我做过的大事，可能稍微领先于潮流。我有一种嗅觉，我不知道这是什么。没有真正的策略，更多的是一种感觉。这也源于我内心深处的原因，我之所以进入这个行业，首先是因为它的演变和变化。它不是静止的。它总是在流动。

这对我来说是一个巨大的推动力，比如，我想要在这里吗？我现在52岁。但在我20出头的时候，我在想，我想成为那种做同样工作的人的人，50年后能拿到养老金，还是我想始终处于最前沿？

并且不断学习。关键是，我喜欢我在一个行业中，必须不断磨练我的技能。我必须不断学习外面的东西。如果你不这样做，你就无法生存，尤其是在这个行业。我是说，像我说的，在我这个年龄，我们处于一个年龄歧视的行业。事情是，我不想这样说，但这是真的。但你知道，保持相关性的方法就是保持相关性，跟上趋势，学习细节。

而不是专注于我很久以前学到的技能，作为基石和坚实的基础，而是不断发展和变化。是的，我确实与过去在工程方面工作的人合作过。他们有自己的工具包，他们不一定想扩展那个工具包。他们想去应用那个工具包，他们可以非常有效地做到这一点，但这对他们来说就是有效的。我认为我也更...

与你一致，我一直受到教育的驱动，推动自己去弄清楚，我想在技术的边缘工作，这就是为什么我花了很长时间，太长时间在学校，来教育自己，真正致力于技术的边缘。

来吧，想想吧，对吧？我想你知道这一点。事情是，当你阅读某些内容时，你开始学习某些东西，然后你开始应用它的实际部分，你获得了第一次的启示。我们总是说，在我做的每一个初创公司中，我都会问，什么是你获得产品的第一道光，那一刻你们都亲吻它，互相看着说—

该死，我们做到了。你知道我的意思吗？就像这是开始。我们知道这是一件事情。我仍然喜欢那样。就像我说的，现在我正在做几件事情，除了JFrog之外，以保持我的技能更新。每当我有这样的启示时，实际上我拥有的其中一家公司就是启示，但其中一个启示是，当他达到那个时刻时，你会说，

好的，是的，你知道吗？这是实用的。我明白了。接下来是什么？然后在我脑海中，每当我在过去做过这些事情时，我的洪水闸门就会打开，关于可能性。同时，限制是什么？我处于什么样的约束之中，我该如何打破这些约束和障碍？

是的。那么是什么让你在JFrog待了八年？第一，人。老实说，我喜欢这项技术。我喜欢这个平台。我有机会与世界上一些最大的科技公司合作。这是其中的一部分。但关键是，我喜欢与我共事的人。你知道，像其他公司一样，你必须能够与周围的人合作，对吧？你需要能够相处融洽。我们在这里有非常有趣的招聘政策。你知道，

你是青蛙还是不是青蛙？对。我一开始觉得，“哦，这很可爱。”你知道我的意思吗？但现在我随着时间的推移了解到，这实际上是一个真实的事情。我们对进入公司的人员有质量把控。事情是，我会告诉你我们在这里遇到的一些最困难的情况。我经历了一些最愉快和有趣的讨论，因为，在某些情况下，当事情变得艰难时，幽默是缓解一些压力的最佳方式。

能够拥有与自己有相似心态的人在一起是非常出色的。因此，对我来说，身边有相同心态的人是让我留在这里的主要原因之一。其次，正如我所说，我有机会与世界上一些最大的公司合作，并始终处于创造某种事物的边缘。事情是，每当我与客户或潜在客户交谈时，尤其是当我成为他们产品的消费者时，我总是开玩笑说，

我希望能够说，嘿，你知道吗？我在这里帮助你变得更好，更合规，更安全，因为我是你的客户，对吧？我希望确保我自己的个人数据和个人安全是最重要的。这给了我某种影响力。

所以这有很多不同的方面。此外，JFrog还让我能够走出去，对吧？有个大笑话是，有时人们说我是JFrog的面孔之一。我做了很多我们的公开演讲和网络研讨会，我很享受这一点，尽管我是一个有舞台恐惧症的人。我很享受。

事情是，有很多不同的方面。但正如我所说，它还鼓励和培养这里的员工采取这些步骤并继续前进。我也喜欢能够指导他人，就像我年轻时受到指导一样，带来我的观点。这里有很多人，我认为我喜欢进行这些对话。我喜欢多样性。我喜欢每一点。这是让我留在这里的原因之一，老实说。实际上，这是我在一家公司待的时间最长的一次。我一直是那种不断发展和前进的人。

但这家公司不断发展和前进。因此，它与我的座右铭相符。它还让我能够在产品上出色和超越。正如我所说，与大型公司合作，并与那些正在改变现状的公司合作。我总是开玩笑说，人们问我，从Chick-fil-A到SpaceX，你知道，我们有这么广泛的事情要做。这令人兴奋。

是的，这太棒了。但你知道，约翰·麦克斯韦尔（John Maxwell）曾说过，人们辞职是因为人，而不是公司，我认为这是一个名言。这是真的。像，

我认为很少有人会留在一家向上发展的公司，如果他们讨厌自己的日常工作，无法忍受同事。这将是一个痛苦的存在。技术行业的伟大之处在于，尤其是在技术方面，你有很多选择。因此，如果你不想忍受这些事情，你就不必这样做。

我可以告诉你，你似乎对这件事非常热情。我可以理解为什么他们有时会让你作为公司的面孔。八年前你加入时，JFrog在规模和发展方面处于什么位置，与今天相比？哦，绝对如此。当我多年前加入公司时，我是第123号员工，现在我们几乎有2000名员工。你知道，当年我们宣布时，收入大约是3500万美元。自那时以来，你可以看到我们现在的情况，接近100%。

巨大的收入和规模。当我加入时，我们的客户数量接近2000个，使用我们的平台，这令人兴奋。现在我们几乎接近8000个。随着时间的推移，看到这一切的增长和扩展，以及在全球不同地点的设立，坐在过山车上是很有趣的。在这种情况下，过山车没有尽头。它不断前进。但它有惊险和刺激的起伏。我

但事情是，你在那里不断观察JFrog的成长，和一些与您一起经历的了不起的人一起坐在前排，拥有共同的战壕故事。你知道，你们在战壕里一起。时光艰难，时光美好。对我来说。

看到这种增长是令人兴奋的。事情是，我们适应了，我们总是处于下一步的前沿。因此，我们能够在市场上与之相遇。你知道，在某些情况下，我们可能稍微领先于潮流，但我们在铺设基础工作，对吧？事情是，现在，即使对我来说，跳入JFrog ML和ML Ops的整个想法也是令人兴奋的。你知道，每家公司最终都会在某个时刻将AI集成到他们的应用程序中。

这已经开始了。已经开始了一段时间。但能够真正拥有，我看待这一点与多年前的DevOps相比，那是一个庞大的技术领域。与JFrog合作的事情之一也是吸引我的地方是我们在信息传递中嵌入的普遍性，我总是将其比作我们是最完美的传送带。

对。原材料在一侧。这是原始代码、第三方传输依赖关系和某种制造产品在远端。我们在其中。我们提供那一层一致性。事情是，你有所有这些不同的工具集。事情是，我总是有这个地图，我总是展示。我说，这是DevOps的可怕领域。对吧。每个类别中的每个工具，从ERP到CICD到安全。然后平台工程出现了。

就像，好的，让我们开始将其整理成某种整合的平台。现在在ML中也发生了同样的事情。你看看所有不同的工具集，所有不同的调优和RAG等事情，我们试图解决同样的市场水平。因此，对我来说，观察公司发展并说，嘿，你知道吗？

我们想成为那一层。我们想成为你构建软件的基础技术支柱。无论你选择什么，因为每个软件公司都是不同的，这也是令人兴奋的，顺便说一下，这家公司随着这一点的发展并宣扬我们将帮助使其更高效、更有效、更安全。我们将能够更好地交付你的软件。

你将能够继续更新物联网领域的那些设备。现在我们说，好的，你知道吗？我们将为ML和ML ops带来合规性。我们将为速度、准确性和效率带来合规性。因为事情是，让我们面对现实。85%的ML技术在开发中，85%的技术从未投入生产。如何提高这一点，应该降低到一半或更少。你应该能够说，好的，

让我们构建一些东西。让我们发展它。正如我所说，对我来说，JFrog是这一自然趋势的延伸，实际行业的延伸，以及我们能够成为那一层一致的基础层，使他们能够做到他们作为公司的需要，并确保他们拥有一致的工具集、准确性和效率。我很幸运能够与那些希望为他们提供这些的人合作。

是的。我认为你说得对，现在ML领域有如此多的新工具。我前几天甚至在查看代理市场的景观图表，我认为可能是来自Menlo Ventures或某个风险投资公司的。

这个东西上轻松有200个标志。代理就是Gen AI中的新事物。如果你将其扩展到整个堆栈，数量就是成千上万。我在这个领域工作，甚至很难跟上，更不用说那些只是想，哦，也许我们应该启动一个AI项目的人，究竟从哪里开始？即使现在，对吧？即使那些也开始细分，对吧？因此，即使那些层次，那种景观也开始细分。

事情是，最初当人们有这种大规模时，总是有办法，对吧？总是有这种大规模的伞形结构。然后在那个伞下，事情开始细分，派系开始出现。正如我所说，代理在我看来是新的战场。当你看它时，所有人都在争夺完美的东西。事情是，当你看它时，就像你说的，现在当

每当技术，我总是这样看待它，对吧？当某个技术领域变得更加复杂时，人们看到这实际上是一个增值。他们想进入这个领域。想法开始出现。这不是坏事，对吧？我是说，这发生在互联网泡沫时期，对吧？这是人们说，嘿，你知道吗？这是新的。这是令人兴奋的。零售、商业、教育、信息。然后它进入了这些小玩家的细分市场。

然后在下一个部分，比如移动，情况也是如此，所有这些。现在，ML也是如此。就像这里开始时有一些小的整合。但然后人们说，我有一个想法。然后想法开始传播。然后你将开始看到的是，200个标志可能缩小到15或20个标志，然后最终缩小到5或6个主要参与者。对吧。所以它会洗牌。会有合并、收购。

一些人会退出。一些工具会表现得很强大，但实际上是劣质的。你知道我的意思吗？自然的洗牌就是这样。正如我所说，我喜欢这个行业的另一部分是，如果你想看自然选择和自然能力，我们的行业是一个活的行业。

我喜欢这一点，事实是它确实在变化，它确实在发展。你在CPA工作时并没有真正看到这一点。是的，我认为，你知道，我在这个行业待得够久了，你也是，我们见证了多个周期的这些。基本上，每当有新的转变时，都会有这种大规模的扩张，基本上，参与者。即使你回到社交网络，周围的人可能不记得。

但就像有无尽的，基本上是社交网络的变体。你知道，Facebook超越了MySpace，领导了这场战斗。但有很多竞争对手都有自己的看法。现在我们真的将市场整合到一小部分参与者中。

我想，你还记得Friendster吗？是的，确实如此。Friendster无法扩展，基本上，他们的MySQL数据库崩溃了，他们没有技术人才来扩展它，基本上就死掉了。对，事情是，如果你回顾一下，我最近和一个朋友谈论这个。你提到这些事情真有趣，因为我最近和一个朋友谈论过这个。我们说，实际上，如果你看看Friendster周围的设计和一切，它在可用性和设计方面实际上是一个更优越的平台。

但正如你所说，它的后端无法支持他们所施加的重负。他们有一群出色的前端、出色的用户体验和用户界面以及互操作性的人。但在另一边，他们无法竞争。顺便说一下，记住那是早期。没有真正的云规模。没有真正的Kubernetes。没有真正的...

在没有物理服务的情况下提供基础设施的方式。我是说，我开玩笑地试图向年轻工程师解释。我说，你们不明白。我有一家初创公司，我们需要服务器。我真的去了一些非常可疑的地方，在Fremont的一个仓库里，有些家伙卖给我10台服务器。我不得不把DOJ的贴纸刮掉。

把它们擦干净，带回我的服务器位置，因为那是我们能负担得起的。现在就像我可以进去说，我可以自动扩展任何我想要的东西。这真是太神奇了。曾经，我一直是云原生等事物的忠实支持者。正如我所说，我在JFrog工作时非常享受的事情是，我们是云原生基金会的治理委员会成员，帮助定义

所有这些成功扩展的公司的路线图，以避免在达到100万和1个用户时掉入Friendster的陷阱，对吧？你知道，+1就杀死了所有。但另一方面，你知道，和我们有一个家伙，他的名字叫Remus。Remus是Helm的共同创始人之一。他在这里工作。太棒了，对吧？你知道，在我看来，这就像是皇室，其他人会说，哦，那很酷。我会说，那太酷了。

我能见到这个家伙，你的构思是什么？当这一切发生时你在想什么？这个编排是如何进行的？我有很多问题。我就像一个粉丝。这太棒了。这一集的Software Engineering Daily由Jellyfish赞助，Jellyfish是一个软件工程智能平台，采用专利分配模型，并拥有行业最大的客户数据集。你知道，过去一年左右最大的变化之一是对像GitHub Copilot这样的Gen AI编码工具的采用。

工程领导者正在努力弄清楚他们的团队是否真的在使用它，他们使用的频率，以及它对业务的影响。他们是否在交付更多？是否有更多的路线图工作正在进行？你如何知道，除了轶事和调查？这就是为什么Jellyfish在2024年与GitHub合作推出了Co-Pilot仪表板。

自那时以来，他们分析了来自200多家公司的4200多名开发人员的数据。想知道一个有趣的发现吗？开发人员使用Copilot的交付量增加了20.9%。Jellyfish的团队还有很多其他见解，您可以开始查看自己团队的数据，以便更好地规划和管理。今天请访问jellyfish.co/copilot了解更多信息。

是的，我的意思是，我认为这就是在湾区工作的一些大型科技公司的伟大之处。它不必在湾区，但你确实会遇到一些发明了广泛采用的行业标准技术的人。他们只是作为员工在那儿，你可以与他们交谈，向他们请教。因此，我想稍微转变一下，进入一些关于DevSecOps的内容。

首先，对于那些可能对这个领域不太熟悉的人，你如何定义DevSecOps，它在现代软件生命周期中适合什么？哦，绝对是必要的，在我看来。事情是，如果你不采用这种持续的能力，你知道，事情是，我们总是谈论每当我讨论DevSecOps时，我会进行很多讨论，随着时间的推移，我总是从构建速度开始。

对。当我开始进入这个行业时，我们进行季度构建，你知道，我们进行季度发布。我是说，我们进行了构建和测试，但我们只在每个季度发布一次软件，你知道，这是一个重大公告。嘿，我们花了90天的时间来处理这一部分，你知道，我们正在进行的升级。是的，你知道，我们偶尔会构建它，进行测试等等。然后，当然，你知道，一切开始进展，逐渐建立起来。

&nbsp;

</context> <raw_text>0 随着自动化的普及，周期变得更快。当然，你知道，在 2006 年，当我们开始接触 DevOps 的整个理念时，对吧，你构建它，你运行它。你知道，像 Docker 和编排这样的工具，再次，它是一个狂野的西部表演。你知道，你看到了所有可以做某事的工具。但问题是，有一个 DevSecOps 的基本理念，你知道，能够拥有更快的发布周期，能够将安全性集成其中，对吧？最初，它只是 DevOps。

你知道，安全团队说，你知道，我们真的应该做点什么，以确保事情是安全的、合规的。问题是，拥有这些迭代周期，能够创建允许你更快速构建、快速部署的东西是至关重要的。对吧。我不认为组织能够没有它。很有趣的是，在某些情况下，你会看到技术，嗯，不是技术，而是像 DevOps 或其他趋势的潮起潮落，变化或消失，并演变成下一个东西。看看敏捷，对吧？我的意思是，敏捷出现了，现在人们在问，敏捷死了吗？你知道，这些都是事情，但 DevOps 和 DevSecOps 对于速度、准确性和市场准入是至关重要的。

而且拥有安全性确保你为客户提供服务的能力，无论你所在的行业的孤岛是什么。但通过提供不仅是最佳软件，而且是最安全和合规的软件，我们知道，正如你所知，你看看趋势和数字，比如供应链攻击的增加数量，这些攻击已经损害了人们的软件。我们总是回到太阳风事件。这仍然是一个我们研究了几十年的用例。

那是一个第四级传递依赖关系在周期中。我的意思是，它深入到这个实际应用程序的深处。它造成了价值 1000 亿美元的各种问题，遍布全球。但问题是，公司需要采用这一点，因为它允许他们实现更多的自动化。

做更多。确保他们所做的事情是正确的，并且是合规、安全的，确保稳定性，确保安全性，确保弹性。你知道，当人们谈论 DevSecOps 时，你听到的所有词都是正确的。

你知道，问题是你需要以最适合你公司的方式来采用它。同时，它遵循某种可以应用的标准，当你引入人员时，你并不是把他们带入某种令人震惊的东西。你是把他们带入某种相似的东西，或者至少在最小偏差的情况下符合 DevSecOps 的定义。

今天你能没有安全性就有 DevOps 吗？这些真的是两个独立的东西，还是应该只是一个概念？不，它们应该是同一件事。事情是，我看到这一点很多。有很多公司会说，我们需要引入安全团队。

我每次给安全团队发邮件时，总是有一些问题，比如，拥有一个独立的安全团队对你的组织造成了多大的延迟和阻碍？问题是，这里有一个例子。

你知道，每个人都在谈论向左转。你把工具放在哪里最重要？而最重要的地方实际上是在开发者层面，对吧？这是你的入门级。现在，你不会让一个安全人员在每次有人编码时都坐在他们的肩膀上。你知道，这不是一个牛棚，对吧？或者像那些边际呼叫牛棚那样，大家都坐在一个立方体里工作，后面有一个安全人员在说，你知道，你不应该这样做。

哦，你知道，那实际上是一个错误的算法，你在那里做的哦，你可能会受到 SQL 注入的影响，你知道，没有人在你肩膀上这样做，所以能够将 DevSecOps 作为其中的一部分，安全性在每个阶段都集成在其中。事情是，人们，你知道，这不是一个点解决方案，安全性永远不应该是一个点解决方案。

它应该是一个迭代解决方案，贯穿整个 SDLC，从开发者层面开始。即使我们在这里，我们有一个叫做策展的产品，对吧，就像是你组织的防火墙，用于拦截请求。如果这些请求进来，这些是公司定义的规则和定义，说明这是一个合规问题。这是一个持久性问题。比如，它是否在操作上具有风险？是否存在恶意包？但它应该一直延续到运行时。

而且，问题是，沿途的每个环节在某种形式上都容易受到某种安全攻击。因此，当人们说，安全性是否与 DevOps 分开时？我说不，因为如果它是一个单点故障，那么你就失败了。

因为问题是，在 SDLC 软件开发生命周期的光谱中还有更多的空间，这应该归因于 SDLC 的每个环节，从向左转作为开发者体验的一部分，一直到代码，对吧？能够实际通过 Git 进行操作，我们今年与 GitHub 有一个重大公告，关于自动修复的事情，比如如何自动修复潜在的安全威胁和问题？我们与他们合作了。协同工作，如何...

查询并在我甚至开始工作之前找出我想用来构建软件的某些库是否是必需的。你知道，作为开发者，我所做的 85% 的事情是我不知道的，对吧？这些第三方传递依赖关系。这会影响我吗？作为 CI 过程的一部分，它也应该是其中的一部分，对吧？不断迭代。当你构建时，它应该进行安全检查。

寻找诸如秘密检测之类的东西，我的应用程序配置正确吗？我是否忘记在我与服务的连接上启用 TLS？这甚至应该是 QA 过程的一部分。即使在 QA 进行 QA 时，他们也应该成功地进行测试。即使当它到达生产时，你也应该在部署之前给它一个小小的安全吻，然后一旦它实际上被部署到像 Kubernetes 集群或节点这样的地方，你也应该不断监控它。

问题是，我们是 CNA。因此在 JFrog，我们是 CNA，我非常喜欢。我认为这是我们所做的最酷的事情之一。我们有一个庞大的研究团队。我喜欢浏览他们的研究网站，看看他们发现了什么。你会惊讶地发现有多少—

安全性现在已成为常态，这本应一直存在。它不应该是那些戴着黑眼镜、黑帽子和衬衫的人，待在一个房间里，突然冒出来说：“你需要修复这个，因为你的代码很糟糕。”问题是，通常人手不足。通常是 100 名开发者对 1 名安全人员。这是一个疯狂的比例。

所以问题是，安全性应该是其中的一部分。它应该是自动化的。它应该在幕后进行。此外，它还允许安全人员专注于重要的事情，而不是一堆琐碎的事情。就像他们被这些东西淹没一样。他们不断被 CVE 轰炸。你如何确保他们专注于正确的内容？你如何关注某些内容是否与实际提出的问题相关？你如何知道你是否受到影响？

是的，我认为另一个挑战是，当你有安全性时，我认为这也适用于隐私，像这些分开的团队，像卫星一样在发布结束时出现，以确保他们，知道，他们祝福这个东西，这种关系变得有些对立，他们可以被视为办公室的否定者，因为他们在最后一刻出现。

在大家投入了所有时间之后，来说：“不，你需要回去重做这些事情。”但为了与此相对立，是否将发布转移到 DevOps，转移到工程团队，转移到那些构建的人，我们也将一些安全性转移到那里。我们是否在本质上给工程团队过多的责任，让他们也要考虑安全性？

你知道吗？我很高兴你提到这一点，对吧？这实际上是，我与这个行业中大多数组织、大多数人交谈时，朋友和其他同事的事情。你知道，我参加了很多会议，我们进行了这场辩论，你知道，多少算太多？我的观点，这非常有争议，但我的观点是，永远不会太多。

但它需要以智能的方式进行。好的。所以这不仅仅是，是否存在问题？这是细微之处。因为问题是，假设我是开发者。现在，安全性，你告诉我，现在我除了是软件工程师外，还要成为安全工程师。所以我不仅要坐在那里，想出创造性的想法和特性背后的方面，但现在你想让我成为一个安全人员？那么你如何以不侵入的方式做到这一点？你如何以一种...

几乎是游戏化的方式来做到这一点，但同时也帮助编码者实际上成为更好的编码者。这就是问题所在，这是你必须走的一条微妙的界限。我相信每个开发者都有责任做到这一点。我的意思是，

即使在我们没有像 SAST 这样的东西的日子里，对吧？那让我知道你是一个糟糕的编码者。你做了一些可怕的事情，对吧？你不应该那样做。你知道，通常需要某种渗透测试。可能需要某种自动化测试，或者可能是物理测试。我记得在没有自动化的日子里。你知道，我们实际上必须逐步记录点击，对吧，在你正在做的网站上。然后它会进行注入和测试，那是一个非常手动的过程。

通过让开发者能够查看他们的 IDE，给他们在他们生活的世界中提供所有潜在的工具，以便在他们的世界、他们的家中完成工作，对吧？我的意思是，你的 IDE 就是你的家。你在你的家里。你有不同的房间。你有源代码。你有你正在处理的代码。你有你正在监控的依赖库。你有所有这些东西。但如果你能够为此添加保护层，以突出显示，消除模糊性，

这就是使用像 Copilot 这样的工具的美妙之处，对吧？我有一个，你知道，关于 Copilot，我们与 GitHub 一起做的事情。最好的部分是，作为开发者，我可以进去说，给我展示一个更好的方法，或者也许展示一些代码。然后他们来到我们这里，询问，嗯，我可以使用什么样的库？哪些是安全和合规的库？

为什么我不提前查询？为什么我不提前找到这些东西，以减少我在安全领域需要做的实际认知负担？这就是问题所在，所以当涉及到它时，

我认为永远不够，但必须以一种不是突然的方式进行，就像我喜欢的那样，你称之为什么？否定部？或者否定部？是的，否定部。我会选择否定部，因为我喜欢这个，因为这听起来非常，听起来非常，但这个想法非常，就像我说的，你知道，当我们回到你不能让一个安全人员在你肩膀上徘徊，悄悄地在你耳边说，像是阴险地说，你不应该这样做。

你知道，这可能是糟糕的，对吧？这是其中之一，我向开发者展示过的，就像我说的，这是我的背景。你知道，我开始时是一个编码者，做过所有事情。就像我说的，我希望我有一半的工具。

我总是去我的 IDE。我使用 VS Code，这一直是我选择的工具之一，你知道，在收购之后，因为它之前。无论如何，我进去说，看看，我仍然可以做我的工作。但与此同时，我现在有一堆丰富的信息，允许我做到这一点，第一，更好，对吧？节省了我写某些算法函数和其他东西所需的很多时间。

并为我完成，所以我不仅仅是，错过一个括号，或者，或者其他什么。然后在这方面，确保我需要做我工作的事情，85% 到 90% 的我消费的东西都是安全的、合规的。并将责任放在我身上，你知道，在生产中发现安全问题或安全对象或某种潜在威胁、恶意组件等的成本是开发者的 100 倍。

因此，考虑到我们对 DevSecOps 的兴趣增长，以及市场上没有短缺的安全工具和更安全的软件开发方式。

公司面临的安全事件、数据泄露的问题或挑战不仅没有消失，实际上还在加剧。那么你认为，尽管有更好的工具和实践，为什么仍然存在这个问题？所以这很有趣，因为我们在这里解决的事情之一，实际上是当我们几年前在处理它时，我的眼睛睁开了。

我在听到我们要做的事情时感到震惊，我看到了这一点，因为其中一个问题是，洪水，对吧？是的。这是一个系统性的问题。顺便说一下，这已经是一个问题几十年了，对吧？这不是新鲜事。它只是变得更加普遍。我认为问题是，我认为我们没有工具，

控制来查看当时公司可能面临的潜在暴露水平。我认为这就是为什么在很多情况下数字如此之高的原因。我只是认为我们更加意识到了，对吧？我们现在更加意识到了。我们知道问题已经发生。现在的反应已经消失。我们现在在标准上。

对，你知道，当你查看像我说的太阳风或 Log4j 时，对吧？Log4j，我的意思是，让我们回头看看这一点，对吧？我的意思是，这是那个库的宠儿，大家都知道 Log4j，然后突然它变成了地球上最有毒的烂摊子。你知道，软件构建材料标准就是从那时起产生的，太阳风也是如此。对，这是政府的反应，像是，我们必须对此采取行动，我不必说什么，我不是

我有时像卡车司机一样咒骂。但这是我们需要围绕它做出反应的事情。当我们看待这一点时，并不是说它突然增加。我只是认为我们更加意识到了。我们有数据来支持这一点。问题是，对于我们来说，让我兴奋的是，开发者的这种持续的困惑，你知道，我们开始与客户交谈，我们开始查看报告，像是，

CVE 在某种程度上并不是那么重要，因为数量太多。并不是说它们不重要。只是你如何不断——你面临着一场雪崩般的 CVE。你如何挑选出你想要解决的那些？我们所做的是创建了一个叫做上下文分析的东西。

通过上下文分析，我们实际上查看了某个问题的实际威胁参数。我们说，这些参数，这些条件是否满足，可能导致潜在的恶意利用？这减少了我们与之合作的公司必须处理的实际 CVE 和潜在威胁和安全问题的数量。我给一个客户展示过。他们给了我们一个文档的要求。

我通过我们的东西运行了一遍，结果返回了大约 458 个 CVE，像是一些荒谬的数字。我们说，你需要多长时间才能处理这些？仅仅是为了找出你是否受到影响，甚至不是你受到影响的程度，而是你是否受到影响。他们说，可能不会。我们可能会去处理关键的和 CVS 分数 9.7 及以上的。然后我说，如果我能告诉你，92% 的这些并不影响你？

有确定性。这些利用的条件并没有得到满足。现在，你有一小部分安全威胁可以处理，这是可管理和有效的。

现在，正如我所说的，即使安全漏洞攻击有所增加，也并不意味着你受到影响，因为在大多数情况下，这是一个单一条件，对吧？这是一个条件，与参数、变量、传递给它的某些东西相结合，导致利用或是利用链，这并不重要。但问题是，你

是的，外面有一个可怕的数字。那是可怕的。240% 的年增长率，像是一些愚蠢的事情。你会说，这太糟糕了。但你会说，嗯，你知道，尽管存在利用，但并不意味着你受到影响。它不会直接影响你。这就是问题所在，当我看待这一点时，我说，是的，你知道，确实可怕。那些数字确实可怕。但这也是，顺便说一下，不仅仅是你受到影响，如果你受到影响，你已经受到影响多久？

此外，你的产品线中可能还有哪些其他产品可能受到影响？你如何拥有审计跟踪？你如何对你用来有效保护公司或确保你一直在保护的组件和部分负责，以减轻可能出现的灾难，可能是当有人发现你受到影响时，X 数百万用户的数据刚刚被曝光？

这些是公司一直在考虑的可怕威胁。就像我说的，仅仅因为供应链中的检查数量增加，并不意味着它影响了你，但你应该为此做好准备。是的。所以我知道 JFrog 与美国一些最大的银行合作。当我们考虑 DevSecOps 和受监管环境时，

我想，JFrog 为那些公司提供了哪些工具，帮助解决我们正在讨论的一些问题？哦，绝对如此。这实际上是我们刚刚讨论的一些事情，对吧？我们实际上提供了不同级别的服务。使用我们平台的银行使用了我们所做的广泛服务。我们的安全产品叫做 JFrog Security，实际上分为四个不同的产品。

我们有我们的标准 JFrog X-ray，顺便说一下，这与任何其他安全工具不同。大多数安全工具是基于行动的。你需要做某事才能获得某种结果，以实施某种行动计划来修复它。

通过我们的 X-ray 产品，由于 Artifactory 与 X-ray 的共生链接，它不断扫描。它不断评估。而且，顺便说一下，记住，它不仅仅是一个安全方面应该受到影响，对吧？不仅仅是 CVE 或 CVSS，对吧？还有恶意打包。此外，还有许可和合规性。你知道，阅读那些许可证，对吧？

你会惊讶于有多少糟糕的许可证存在，对吧？那些只是虚构的许可证，说明你使用我们，所有的代码都属于我们。小字，对吧？然后还有像操作风险这样的事情。你使用的库有多旧或过时或被遗弃？在库世界中，超过 80% 的库，取决于像 Python、NPM 等，都是旧的、被遗弃的或过时的。

我的意思是，这也会影响你。如果你使用的库自 2011 年以来没有更新，很有可能你将不得不雇佣一家公司为你重建它，并修复它。有几家公司在做这件事。或者你只需处理它，因为它永远不会被修复。所以你也可以为此编写规则。

现在，我们还有高级安全性，高级安全性允许我们过滤出影响公司的实际 CVE，对吧？你是否受到这个潜在恶意组件的影响？此外，你知道，你是否在秘密方面做了什么？你是否暴露了？我给你一个想法。我下载了一个 Docker 镜像。我从 Docker Hub 拉下它。我通过我们的安全产品运行它，发现我可以访问这个开发者的

AWS 密钥，他的 GitHub，所有一切。我有访问权限。我联系了这个家伙。他说，这不可能。它是干净的。我说，你检查过你的根历史记录吗？你进入镜像，输入历史记录，它有一切。一切。他说，哦，我的天。此外，我们还告诉你，是否有服务或应用程序可能在你正在做的图像中构成潜在威胁？

我们还进行基础设施即代码分析。我曾经搞砸过一次。我在学习 Terraform。我做了所有这些事情。我做了我的第一个。我在自我表扬。结果没有任何 ACL，没有我设置的安全措施。当我通过它运行时，我查看了前面。授权等于无。完全是新手错误，但我们的产品发现了这一点，并让我知道。我想，哦，我不是疯子。

但我们还为他们提供前线防御，对吧？我们有策展，它就像一个防火墙，因为 X-ray 和我们的高级安全性是，一旦这些二进制文件，这些库，这些恶意组件已经在你的环境中，潜在地。

零日，对吧？我们的策展产品充当防火墙，拦截请求。它说，我想引入这个库，但我要做的是，我要进行一次干运行，看看，知道，哪些东西正在进来，并在它开始之前停止它。

然后我们现在有公司在使用，我们今年发布了运行时。换句话说，现在我们可以追踪安全问题，从它进入之前、在其中时，给开发者在 IDE 中提供他们所需的一切，配合 SAST 等，一直到这个东西现在在我的运行时环境中吗？它的潜在威胁有多大？

对。这是我们为银行提供的东西。问题是，通过拥有一个单一的整体安全解决方案，可以让你不必在事后尝试关联数据。对。这是在同一平台上关联的数据，让你拥有一致性。人们问我，如果我将我们在 JFrog 所做的一切归结为一个词，我总是会说一致性。

我们为组织提供了一种一致性，以便他们可以减少工具，这意味着他们不会有工具扩散，这也意味着会有安全漏洞和缺口。老实说，工具越多，漏洞就越多，因为那些是不可互操作的，对吧？它们彼此之间不兼容，实际上是非互操作的。因此，你必须进行手动关联。每当，我很抱歉地说，我们让人类参与其中，除非这是一个创新的事情，否则我们实际上是某些事情崩溃的关键。

是的。所以你提到那个家伙，他不小心在图像历史中有一堆凭证。我认为这就像是你读到一些由于弱凭证而导致的数据泄露的事情。你会想，哦，我的天，像这些人怎么会这么愚蠢？但这真的是一个很容易犯的错误。就像你说的，很多时候人是这个问题的关键。

我想，关于与社会工程或人作为故障点相关的安全问题，JFrog 或 DevSecOps 类似的实践是否有助于防止这样的事情？

好吧，有趣的是，你这么说，对吧？你知道，我有机会见到凯文·米特尼克（Kevin Mitnick）在世时，对吧？我实际上，我有一个我最珍贵的藏品之一在我家书架上，我有一个他的锁匠名片。我不知道你是否见过那些，因为凯文·米特尼克是典型的社会工程黑客，对吧？我的意思是，他的许多黑客行为都是通过电话完成的，对吧？他从洛杉矶的公交系统开始，当时他才 11 岁，然后一路向上发展。你知道，整个想法是，他的大多数黑客行为都是通过电话完成的，对吧？

<context>MLOps在JFrog与Bill Manning的对话

&nbsp;

</context> <raw_text>0 这是一件更难的事情。我们不阻止这一点。对吧。老实说，在代码方面，我们是那些一和零，二进制方面的组织，当涉及到社会工程的方面时，你知道，这归结为，我们都上过那些课程。你知道，你合规吗？你知道，萨莉给你发了一封电子邮件，要求你说，嘿，我需要你的社会安全号码，你母亲的娘家姓和你第一只狗的名字。对吧。你知道，这就像，哦，我会回答那个。

你知道，这些事情是，有人打电话来说，好吧，我在健身的时候决定出于某种原因开始看黑客，你知道吗？而且，你知道，他说，哦，是的。他说，看看电脑旁边的小盒子。他说，我的BLT驱动器崩溃了，

我在这方面失踪，我笑得很厉害，看着1995年。但问题是，当涉及到社会工程时，这更多的是教育。这更多的是简明的指导方针，制定流程和类似的事情。我们从自动化的角度来做。我们是这个房子的机器人方面。我们是自动化的东西。我们是那些给你通知的人，告诉你你正在做一些可怕的事情，你应该修复它。

黑客和凯文·米特尼克。我们回到过去。你真的让我想起了我在互联网上的早期日子。

顺便说一下，我在家里的办公室里仍然有一个免费的凯文贴纸。太棒了。好吧，重新学习，你在谈论JFrog的一个区别或差异化的东西，这种更主动的方法与反应性的方法。现在你正在进行投资于机器学习，正如许多公司一样，这如何可能帮助主动的像