这个问题包括两个方面
1,自身安全,制品库软件的安全问题
因为开源nexus及harbor,都是开源项目,没有安全团队维护,所以漏洞风险更新频率较慢,如果出现问题,也没有厂商支持
JFrog时商业产品,所以如果有漏洞风险,可以第一时间由工程师现场修复
2,对于制品库内部管理内容的安全
主要是开源软件、组件、镜像的安全,这个很容易存在依赖混淆攻击及软件供应链攻击,所以需要制品库具备安全扫描及开源合规扫描能力,对制品进行安全检测、影响分析、组成分析等。JFrog制品库可以完全满足此需求
对于运行时安全,需要对应的运行时扫描工具。