JFrog 在 Gartner 软件供应链安全魔力象限 中被评为领导者

Gartner 已将软件供应链攻击列为攻击者目前占据优势的四大核心安全威胁之一。现在的威胁已不再局限于代码量的多少，而是演变为“CVE 闪击战”（CVE Blitz）的速度对决——即敌我双方在速度上的对抗——而这一风险正因 AI 的加入而加速愈演愈烈。JFrog 发布的《2026年软件供应链安全现状报告》指出：

◎ 攻击者正在主动将目标对准 AI 模型、智能体工具（Agentic Tools）和开发人员的工作流，而不仅仅是最终的应用程序。

◎ 大多数组织仍从不可信的存储库中获取 AI 模型，从而制造了现有工具无法填补的治理鸿沟。

◎ 恶意包数量创下历史新高，共检测出 177,000 个新增恶意包。

◎ 恶意 npm 包数量同比飙升 451%。

这些发现突显了一个根本性的转变：对最终代码进行扫描固然必要，但已远远不够。安全必须内置于供应链本身——贯穿每一个阶段，涵盖包括 AI 在内的每一种制品类型。

在此次首发报告中，JFrog 凭借其差异化的软件供应链安全方法获得了业界认可。

与竞争对手不同，JFrog 将信任、治理和安全直接嵌入到软件交付流程中。JFrog 软件供应链平台并没有在原本就已支离破碎的生态系统中塞入另一个单点解决方案，而是将软件成分分析（SCA）、开源软件（OSS）许可证合规与第三方治理、持续威胁情报、端到端 SBOM（软件物料清单）生命周期管理、第三方信誉分析以及二进制制品管理融为一体，旨在帮助企业保障软件和 AI 资产全生命周期的安全。

JFrog 支持 SaaS、本地部署或混合环境，专为企业的实际运维现状而设计，在确保安全与合规的同时，绝不牺牲开发人员的速度，也不拖慢创新步伐。

◎ JFrog Curation（制品准入治理）：恶意包、含有漏洞的依赖项以及不合规的组件正越来越多地在神不知鬼不觉中渗透到软件环境中。同时，像《数字运营韧性法案》（DORA）这样的法规，让那些无法证明自己对输入软件供应链的内容拥有控制权的组织面临着更高的违规风险。JFrog Curation 旨在将高风险的开源组件拒之门外，并引导开发人员使用经过预先审查的包版本，避免让一个糟糕的依赖项演变成所有人的灾难。

◎ JFrog AI Catalog（AI 目录）与 MCP Server（模型上下文协议服务器）：随着 AI 生成代码和基于智能体（Agent）的开发模式加速普及，大多数企业对哪些 AI 模型和智能体技能（Agent Skills）正在进入其环境毫无可见性，更缺乏控制手段来拦截那些不可信的内容。JFrog AI Catalog 和 MCP 服务器应用了企业已在通过 JFrog 执行的相同安全标准和信任层。

◎ JFrog AppTrust：安全与合规团队正面临着越来越大的压力，需要证明策略得到了“实际执行”而不仅仅是“写在纸上”。然而，大多数团队仍依赖人工审批和脱节的凭证追溯，这些手段在审计合规审查下往往漏洞百出。JFrog AppTrust 用贯穿软件供应链的不可篡改凭证和自动化策略关卡取代了传统做法，让团队无需依赖电子表格或临时的紧急演练，即可展示持续的策略执行情况。

◎ 扩展的 SBOM 凭证（Expanded SBOM Evidence）：客户、审计人员和监管机构已不再满足于仅仅了解组织使用了哪些软件——他们需要证明已知的漏洞得到了评估、风险决策留有记录，且没有任何隐患被忽视。扩展的 SBOM 凭证功能（包括与 CycloneDX 和 SPDX 3.0 对齐的 VEX 支持）专为组织提供所需的、可验证的文档追溯链，从而能够用事实而非解释来回答这些合规问题。