jfrog领导的开源“Pyrsia”计划将为CD基金会提供安全的软件供应链

Docker、DeployHub、Oracle等加入社区倡议为Pyrsia去中心化建设一个公平开放的治理模式包网络

桑尼维尔，加州和底特律- KUBECON - 2022年10月25日- - - - - -JFrog有限公司。(“JFrog”)(纳斯达克股票代码:FROG)， Liquid软件公司和JFrog DevOps平台，今天宣布Pyrsia是一个开源软件社区倡议，利用区块链技术保护软件包(又名二进制文件)免受漏洞和恶意代码的侵害，已成为该计划下的孵化项目持续交付基础(CDF)。通过共同努力，JFrog和CD基金会将确保Pyrsia通过使用集中的治理模型、明确的路线图以及在更广泛的技术和开源社区中的广泛代表来增加其支持和参与。

JFrog的开发者关系副总裁兼CD基金会管理委员会成员Stephen Chin说:“我们很高兴能加入CD基金会的长期合作伙伴，围绕Pyrsia创造一股热潮，以进一步实现其更好地保护软件供应链的使命。”“在CD基金会的支持下，以及我们令人难以置信的行业合作伙伴的支持下，开发人员可以利用Pyrsia，知道他们的开源组件没有受到损害，并放心地大规模交付安全的软件。”

研究显示了开源库和组件在软件应用程序中平均占75%以上的代码，而软件应用程序平均依赖于500多个组件。虽然这些开源依赖关系很方便，但它们也提供了新的漏洞，威胁参与者可以利用这些漏洞。例如，一个不良演员注射恶意软件变成一个流行的开源项目有可能影响成千上万的下游用户。

Pyrsia是一个基于开源的、分散的、安全的构建网络和软件包存储库，它与开发人员目前已经使用的包管理系统无缝集成，因此他们可以在不影响兼容性、安全性或效率的情况下认证他们的软件组件。开发人员会收到一个数字签名的、不可变的代码证据链，这是软件材料清单(soms)的基本构建块。这为开发人员和他们的客户提供了了解其包的确切来源的保证。

“我们将Pyrsia视为我们组织使命的自然延伸，即发展和维持作为更广泛的持续交付生态系统一部分的项目，”CD基金会执行董事Fatih Degirmenci说。“我们最近了解到，在网络犯罪活动中，没有人是安全的，特别是当坏人将恶意软件包注入中央存储库，对下游系统和应用程序造成严重破坏时。我们很自豪能够支持Pyrsia，因为它将权力交还给开发者，并最终加速创新。”

JFrog与其他开源技术领导者(包括Docker、DeployHub、Futurewei和Oracle)合作，正式推出Pyrsia五月2022。从那时起，这些软件巨头就在如何更好地保护Pyrsia网络的软件供应链方面提供了他们的专业知识，为CD基金会内部的跨项目合作创造了机会，将安全软件包与社区工具联系起来，帮助提高开发人员大规模交付安全软件的能力。

要了解更多并加入Pyrsia社区，请访问https://pyrsia.io。那些参加KubeCon +CloudNativeCon北美或者是持续交付峰会也可以参加JFrog开发者关系副总裁Stephen Chin的主题演讲。入侵OSS供应链，“美国东部时间2022年10月25日周二上午9点05分，或者他的会议，”用Rust & Pyrsia关闭供应链安全循环，美国东部时间2022年10月25日(周二)下午2:20。

来自行业合作伙伴的支持报价

“在过去的十年里，云原生社区已经成为一股惊人的变革力量，改变了数百万开发人员和组织的生活。展望下一个十年，我们需要探索提供更多变革的新途径。Pyrsia是一个雄心勃勃的社区项目，我们很自豪能参与其中。在不可变镜像的容器生态系统中出现的基本结构是一项关键技术，它是支持分布式架构同时仍然提供信任的理想基础。Pyrsia正在探索提高供应链安全的可能性，这是一个关键的新兴风险领域。作为一个社区，我们可以重塑云原生的第二个十年。——Justin Cormack, Docker的首席技术官

毫不夸张地说，在某些时候，几乎每个开发人员都无意中运行了恶意软件包或库。Pyrsia有解决软件供应链问题的潜力，在这种情况下，你得到的二进制代码是用与你想象的不同的源代码构建的。它的美妙之处在于，大型和小型企业都将受益于Pyrsia，整个软件供应链也将受益。——Eric Sedlar, Oracle实验室副总裁兼技术总监

“Pyrsia是第一个引入改进软件供应链安全的开源项目，DeployHub很自豪能成为其中的一部分。来自CD基金会的支持创造了一系列全新的可能性，我很高兴看到我们从这里走向何方。——Steve Taylor, DeployHub, Inc.首席技术官

# # #

喜欢这个故事吗?微博:.@jfrog-led开源项目#Pyrsia将在cdfoundation下孵化，以进一步确保软件供应链的安全。学习如何https://bit.ly/3FaKk8e#开发者#软件供应链#开源软件

关于JFrog

JFrog Ltd.(纳斯达克股票代码:FROG)的使命是推动全球所有的软件更新，在“液态软件”愿景的推动下，实现从开发人员到边缘和连接设备的二进制文件的无缝、安全流动。JFrog平台使软件创建者能够在整个二进制生命周期中为整个软件供应链提供动力，因此他们可以构建、保护、分发和将任何源代码与任何生产环境连接起来。JFrog的混合、通用、多云DevOps平台可以作为自我管理和SaaS服务在主要云服务提供商之间使用。全球数以百万计的用户和成千上万的客户，包括大多数财富100强企业，依靠JFrog的解决方案来安全管理他们的关键任务软件供应链。一旦你跃进，你就不会后退。在m.si-fil.com了解更多信息，并在Twitter上关注我们:@jfrog。

关于CD基金会

CD基金会寻求提高全世界安全、快速交付软件的能力。CDF是一个供应商中立的组织，它建立了软件交付自动化的最佳实践，推动了CD工具的教育和采用，并促进了新兴技术之间的交叉授粉。CDF是许多发展最快的CD项目的所在地，包括Jenkins、Jenkins X、Tekton和Spinnaker。CDF是非营利组织Linux基金会的一部分。有关基金的更多资料，请浏览https://cd.foundation。

关于前瞻性陈述的注意事项

本新闻稿包含根据美国联邦证券法定义的“前瞻性”陈述，包括但不限于有关Pyrsia Initiative的陈述，JFrog高管的陈述，以及Pyrsia Initiative为软件供应链提供更好安全性的能力。

这些前瞻性陈述基于我们当前的假设、期望和信念，并受到重大风险、不确定性、假设和情况变化的影响，这些风险、不确定性、假设和情况变化可能导致JFrog的实际结果、业绩或成就与任何前瞻性陈述中明示或暗示的内容存在重大差异。有许多因素可能导致实际结果、业绩或成就与本新闻稿中的陈述产生重大差异，包括但不限于我们向美国证券交易委员会提交的文件中详述的风险，包括我们截至2021年12月31日的10-K表格年度报告、10-Q表格季度报告、以及我们可能不时向美国证券交易委员会提交的其他文件和报告。前瞻性陈述仅代表我们在本新闻稿发布之日的信念和假设。我们不承担更新前瞻性陈述的任何义务。

媒体联络:

Siobhan Lyons, JFrog高级市场经理，siobhanL@m.si-fil.com

投资者联系:

Jeff Schreiner，投资者关系副总裁jeffS@m.si-fil.com