2025年，软件供应链面临前所未有的安全挑战，AI的快速发展扩大了攻击面。JFrog报告显示，恶意活动激增451%。尽管97%的企业声称有治理措施，但实际执行不足，导致AI治理严重脱节。企业需从被动修补转向系统性风险控制，以应对不断增加的恶意依赖和软件包数量。

JFrog推出“影子AI检测”功能，帮助企业管理未受控的AI模型和API调用，提升安全性与合规性。该功能自动扫描内部AI模型和外部API，支持集中治理，确保遵循全球AI法规，增强JFrog在AI供应链安全领域的领导地位。

软件开发领域正在快速演变，战略规划显得尤为重要。JFrog首席战略官Gal Marder指出，AI正在重塑开发生命周期，企业需提前3-5年预测变化。他的工作包括倾听客户反馈、并购及技术合作。JFrog推出UpTrust以应对DevGovOps问题，专注于软件创建治理，确保安全与合规。Marder强调，行业需在加速发布与信任治理之间找到平衡。

JFrog在swampUP 2025大会上推出新功能，帮助企业应对现代AI软件供应链的复杂性，包括基于证据的软件发布治理（DevGovOps）、统一的AI模型目录、自动修复代码漏洞的智能助手，以及重新定义版本管理的JFrog Fly。这些举措强调了JFrog在企业软件管道中的核心地位，确保AI生成代码的信任与控制。

GitHub与JFrog的新集成简化了开发流程，提升了安全性与可追溯性。该集成自动进行安全扫描，确保构建与工件之间的加密链接，使开发者能更专注于功能开发，并实现从开发到生产的无缝过渡。

JFrog安全团队警告用户注意一个名为“ccxd python m-exe – futures”的恶意Python包，该包模仿流行的“ccxt”加密货币交易库，可能造成严重损害。攻击者通过拼写错误注册相似域名，诱骗用户访问假网站以窃取信息，主要针对开发者和加密交易者。JFrog提供工具帮助识别和过滤这些恶意包。

本文介绍了如何使用GitHub Actions为Android应用创建CI/CD管道，包括工作流触发、作业依赖、Jfrog集成、SonarQube分析和环境变量的使用。提供逐步指导，帮助用户设置工作流、管理缓存和工件，以及配置自托管运行器。

本文介绍了如何使用Rollup.js和Lerna.js创建npm包。Rollup.js用于模块打包，支持ES6模块并具有效率高的树摇功能；Lerna.js用于管理多包项目，简化版本控制和依赖管理。文章还讲解了JFrog Artifactory的设置，包括创建虚拟、局部和远程npm仓库，以便于管理和缓存npm包，并提供了npm包的安装和测试方法。

JFrog推出了JFrog Runtime，增强软件供应链平台的安全功能，提供实时漏洞检测，特别适用于Kubernetes集群和云原生应用。它通过实时监控帮助开发和DevSecOps团队快速识别和处理安全事件，并管理AI/ML模型以阻止恶意模型。Secure OSS Catalog提供开源软件包的安全信息，简化云原生环境的安全管理，提高开发效率和合规性。

JFrog推出了增强软件开发过程安全性的新功能。该公司声称开发人员可以通过自动化DevSecOps任务节省时间，并改善云原生环境的安全性。JFrog Runtime安全性可以自动化容器中运行的微应用程序的安全性。该平台提供了详细的溯源和更快的问题修复。关键功能包括实时漏洞可见性、加速问题分类和优先级、通过暴露管理降低风险、保护基于云的工作负载、Kubernetes集群的全面分析和集中的事件感知。JFrog还宣布与GitHub合作创建JFrog Runtime安全性。

JFrog和GitHub合作推出JFrog Runtime Security，提供统一的仪表盘视图，帮助开发人员更早地发现潜在漏洞，降低风险并提高开发效率。新的运行时视图具有双向代码导航和作业可见性，以及统一的安全状态仪表盘。JFrog还加入了GitHub的CoPilot扩展计划，为开发人员提供与JFrog和GitHub环境相关的常见编码问题的答案。

JFrog在其年度会议上宣布了与Nvidia Inference Microservices（NIMs）的新集成。该集成将Nvidia的GPU基础设施与JFrog的软件供应链安全套件相结合，使开发人员能够快速透明地将机器学习模型投入生产。该合作旨在提供统一的管理、安全性和模型性能优化。JFrog将在其Artifactory存储库中托管和扫描Nvidia的AI模型。该集成简化了AI工作流程，使开发人员能够专注于创新。

GitHub和JFrog宣布合作，帮助开发人员更高效地管理代码和二进制文件。两个平台的集成使得源代码和二进制文件之间的导航和追溯更加直观，支持使用GitHub Actions和JFrog Artifactory进行CI/CD，提供统一的安全发现视图。合作旨在通过提供对整个软件供应链的完全控制和可见性，使开发人员的工作更轻松和愉快。合作还包括单点登录、制品生命周期跟踪、源代码和二进制文件之间的双向链接，以及统一的软件供应链安全状态视图。这种合作预计将对DevOps领域产生重大影响。

Pyrsia是一个开源社区倡议，利用区块链技术为分散式包网络提供安全治理，防止软件包受到缺陷和恶意代码影响。该项目得到Docker、Oracle等公司的支持，并与持续交付基金会合作，确保开发者能够安全地认证和管理软件组件。Pyrsia计划于2022年正式推出，旨在提升供应链安全，帮助开发者更有效地生产安全软件。