JFrog开启开源软件安全新时代，启动Pyrsia项目帮助防止软件供应链攻击

JFrog、Docker、DeployHub、Futurewei和Oracle在基于区块链的去中心化网络上合作用于验证软件包和二进制代码

加利福尼亚州森尼维尔和圣地亚哥，2022年5月25日- (swapamp 2022) -JFrog有限公司．(“JFrog”)(纳斯达克代码:FROG)是一家液体软件公司JFrog DevOps平台今天，微软推出了Project Pyrsia，这是一个开源软件社区倡议，利用区块链技术来保护软件包(又名二进制文件)免受漏洞和恶意代码的侵害。可用于立即注册Project Pyrsia是一个基于开源的、分散的、安全的构建网络和软件包存储库，旨在帮助开发人员为他们的软件组件建立来源链，创建更大的信心和信任。

“开源无处不在，虽然它一直被视为创新和现代化的种子，但最近软件供应链攻击的兴起使每个组织都变得脆弱，”JFrog联合创始人兼首席执行官Shlomi Ben Haim说。“由开发人员领导，为开发人员服务，JFrog很自豪能与社区合作开发Project Pyrsia，这样每个人都可以继续充满信心地拥抱开源，同时保护软件供应链。”

开源软件是我们今天使用的几乎每一项技术的关键元素——从我们的操作系统和浏览器到我们生活所依赖的应用程序和服务。然而，毫无疑问，数量，复杂性和严重性软件供应链攻击在去年有所增加。最近几个月JFrog安全研究团队追踪了超过20种不同的开源软件供应链攻击——其中两种是零日威胁。虽然开源组件的设计是为了提高开发效率，但不知道你的软件来自哪里会让你很难发现风险——对其安全性产生怀疑和不确定性。

因此，JFrog和其他开源技术领导者(包括Docker、DeployHub、Futurewei和Oracle)一起合作建立了项目Pyrsia用于验证开源软件包的来源和安全性的网络。有了Pyrsia，开发人员可以放心地使用开源软件，因为他们知道自己的组件没有被泄露，而不需要构建、维护或操作复杂的过程来安全管理依赖项。

“在JFrog，我们相信只有向社区提供与企业相同的工具和服务，开源安全才会成功，”JFrog开发关系副总裁Stephen Chin说。“开源、可定制的架构和强大、活跃的社区的结合，使Pyrsia成为获得安全软件包的最透明、最值得信赖的方式。我们非常感谢我们的行业合作伙伴和社区的帮助，他们与我们一起确保开源，这样它才能继续成为真正的创新之源。”

Pyrsia旨在与开发人员目前已经在使用的包管理系统无缝集成，因此他们可以在不牺牲兼容性、安全性或效率的情况下验证他们的软件组件。利用Sigstore的Cosign和Notary V2等标准，开发人员可以利用Pyrsia网络快速访问他们的容器。使用数字签名，开发人员可以获得一个不可更改的代码证据链，从而让他们放心地知道包的确切来源。

为了帮助指导开发人员在使用Pyrsia验证软件组件的过程中，选择几个实体将构建和发布可供每个人使用的映像——或者称为“引导”项目。有兴趣支持Pyrsia的组织可以自愿提供资源，帮助建立该项目的第一个分布式网络。2022世界杯阿根廷预选赛赛程从那里，Pyrsia项目的去中心化框架将帮助提供:

• 一个独立的、安全的开源软件构建网络
• 软件包的可信度
• 已知开源软件依赖关系的完整性

欲了解更多关于Pyrsia计划的信息或注册成为贡献者，请访问https://pyrsia.io/．你也可以在这个博客或者直接与JFrog社区领导人和Project Pyrsia专家聊天swampUP2022年将于5月25日至26日在圣地亚哥举行。欲了解更多信息并注册，请访问https://swampup.www.si-fil.com/．

来自行业合作伙伴的支持报价

DeployHub团队的重点是牢牢地植根于确保供应链的安全，没有比完全审计构建和打包步骤更好的开始了。为此，Pyrsia是第一个通过“共识构建网络”引入该领域改进的开源项目。他说，这一领域早就应该出现混乱。DeployHub很荣幸成为这个创新团队的一员。——Steve Taylor, DeployHub, Inc.的首席技术官

“在Docker，我们认为这是一个令人兴奋的时刻，社区可以围绕供应链及其核心、构建和包装的关键组件进行创新。我们很高兴加入Pyrsia项目，并与社区一起工作。在核心容器基础上构建新型基础设施是一个巨大的机会，这将促进创新和更好的开发体验。——贾斯汀·科马克(Docker公司CTO

“开源项目Pyrsia正在开发一个第三方认证、去中心化、分布式软件包网络，为开源软件包供应链提供安全、透明和完整的服务。Futurewei致力于与开源社区合作，通过开源、开放标准和开放生态系统加速数字转型创新。随着开源软件变得越来越普遍，保护开源软件供应链成为一个关键问题。我们很高兴能成为Project Pyrsia的创始成员，并很高兴有机会与其他成员合作，加速Pyrsia建立一个安全可靠的开源软件供应链生态系统——为开源社区带来价值。——David Lai，云基础设施和平台架构开源生态系统合作伙伴关系总监

# # #

喜欢这个故事吗?微博:.@jfrog推出了新的基于区块链的安全验证系统，用于开发人员的开源软件组件去中心化监控、合规违规和响应。了解更多https://bit.ly/3Gm1JJY

关于JFrog

JFrog Ltd. (NASDAQ: FROG)的使命是为世界上所有的软件更新提供动力，由“液体软件”愿景驱动，允许二进制文件从开发人员到边缘无缝、安全的流动。JFrog平台使软件创造者能够在整个二进制生命周期中为其整个软件供应链提供动力，因此他们可以构建、保护、分发以及将任何源代码与任何生产环境连接起来。JFrog的混合、通用、多云DevOps平台可在主要云服务提供商中作为自管理和SaaS服务提供。全球数以百万计的用户和数以千计的客户，包括大多数财富100强企业，依靠JFrog解决方案来安全管理他们的关键任务软件供应链。一旦你向前跳，你就不会回头。在www.si-fil.com了解更多信息，并在Twitter上关注我们:@jfrog。

关于前瞻性陈述的警告

本新闻稿包含根据美国联邦证券法定义的“前瞻性”声明，包括但不限于有关Pyrsia项目和分析软件包漏洞和恶意代码的能力的声明，我们满足客户需求的能力，以及我们推动市场标准的能力。这些前瞻性陈述基于我们当前的假设、期望和信念，并受到重大风险、不确定性、假设和环境变化的影响，这些风险、不确定性、假设和环境变化可能导致JFrog的实际结果、业绩或成就与任何前瞻性陈述中表达或暗示的内容存在重大差异。

有许多因素可能导致实际结果、业绩或成就与本新闻稿中的陈述存在重大差异，包括但不限于我们向证券交易委员会提交的文件中详细列出的风险，包括我们截至2021年12月31日的年度10-K表格报告、我们的季度报告10-Q表格、以及我们可能不时向证券交易委员会提交的其他文件和报告。前瞻性陈述仅代表我们截至本新闻稿发布之日的信念和假设。我们没有任何更新前瞻性声明的义务。

媒体联络:

Siobhan Lyons, JFrog高级营销经理，siobhanL@www.si-fil.com

投资者联系:

Jeff Schreiner，投资者关系副总裁，jeffS@www.si-fil.com