Ed Grabscheid(首席财务官)
Shlomi Ben Haim(首席执行官)
Sanjit Singh(摩根士丹利)
好的,快到午餐时间了。希望大家都在吃点东西。我们正在进行——我们正在继续TMT会议,非常高兴能邀请到JFrog的管理团队。自从你们公司上市以来,JFrog几乎每年都参加我们的会议。今天我们请到了首席执行官Shlomi Ben Haim和首席财务官Ed Grabscheid。
Ed,再次感谢你回到TMT会议。
感谢你们邀请我们。
感谢你们邀请我们。
太棒了。在我们开始之前——关于JFrog的故事有很多可以聊的。在我们开始之前,重要的披露信息,请参见摩根士丹利研究披露网站:www.morganstanley.com/researchdisclosures。
有了这些,让我们开始关于JFrog的对话,也许为了统一认识,Shlomi,我们在软件领域已经没有时间了。存在很多不确定性。所以我认为投资者们开始回归第一性原理分析,分析这些软件公司是什么,它们如何创造价值。那么,从你的角度来看,你能给我讲讲JFrog为客户解决了哪些问题,以及为什么超过90%的财富500强企业都采用了该公司的产品吗?
好的。Sanjit,再次来到这里非常开心。我认为在这个不断演变的市场中,我们看到的是软件供应链信任层的采用。这是一切背后的主要原因,无论是AI驱动还是开发驱动,而JFrog正是提供了这一点。在软件供应链管理的世界里,你需要一个非常强大的记录系统来实施安全措施、治理措施,确保你分发的内容是安全的,实现自动化,实现工具的通用性和包的通用性。JFrog就是这样一家公司,其核心资产是管理二进制文件。二进制文件是开发人员或代理编写的任何源代码的输出结果。这正是JFrog越来越受到重视的原因。
太棒了。多年来,你们的宣传一直很明确,JFrog是二进制文件的记录系统和单一事实来源。而且我认为,越来越多的目标是在AI工件和AI模型方面扮演同样的角色。客户使用你们产品的方式发生了什么最重要的转变,使得这种定位现在比一年前更准确?比如,从管理容器到管理AI模型的转变。我知道这还处于早期阶段,但从这个角度来看,你能看到哪些迹象?
嗯,当客户选择JFrog平台时,他们会考虑不同的方面。他们考虑的是确保单一系统效应或单一事实来源的方面,即每一个进入和流出的工件、二进制文件、软件包都来自同一个经过组织政策验证且符合合规要求的干净来源。
他们考虑的第二件事是安全层,不仅是如何保护这个记录系统、这个二进制文件库,还包括在组织和整个开源“狂野西部”之间设置什么样的 gate。当我分发二进制文件时,在Artifactory之外放置什么,因为众所周知,在你的部署环境和实时环境中,唯一的资产还是二进制文件。
我们的客户还告诉我们,近年来我们看到的是软件供应链攻击,而不是源代码攻击。黑客和攻击者不再追逐你的源代码,不一定来自公共中心,而是攻击二进制文件。所以市场上的威胁也不同了。因此,当你思考客户为什么会采用JFrog平台时,是因为记录系统、治理、执行以及在运行时环境之前和 gate 处的安全性。
是的。让我们更深入地探讨一下,好吗?就在一周多前,一家领先的模型提供商宣布了一项代码安全解决方案。JFrog的股票在一天内下跌了20%。那么,你能告诉我们JFrog在软件安全供应链中扮演什么角色吗?你是否发现你们的销售受到模型提供商在安全方面发展方向的影响?
是的。嗯,自2月20日以来发生了很多事情。看到AI被如此广泛地接受和采用,而且没有人将其视为一种趋势,这真是令人惊讶。人们明白软件世界已经不同了。但我认为你所指的Anthropic宣布的具体内容是,代码代理现在不仅为你构建源代码,还能对其进行安全扫描。不仅扫描漏洞,还提供修复方案。而且只需点击一个按钮,你就可以共同修复并获得更好的源代码,这太神奇了。
我认为市场上看到的影响是那些混淆了源代码安全和二进制安全的人的反应。而更老练的股东或分析师会问,好吧,我们明白了。你们是做二进制的,他们是做源代码的。但如何保证明天AI变得更好、更智能时,AI不会成为记录系统呢?首先,我想坦诚地说。OpenAI刚刚筹集了1100亿美元。他们有才华横溢的人。如果他们想成为JFrog,他们可以做到。但我认为这不是他们的核心业务。但是当你考虑源代码扫描与二进制保护时,你必须深入核心。核心是你要保护的记录系统和单一事实来源。
为什么这很重要?因为我希望在这个群体中或世界上任何地方,没有人会认为任何公司只会有一个代理。你会有Anthropic、OpenAI。你会有微软的Copilot。你会有谷歌的Gemini。你会有一个多代码代理环境。那么谁来管理谁呢?除非你有一个通用的集成到失败的记录系统,所有代理都使用同一个记录系统。
现在,假设这也做到了。当你将这10%,也许15%的代码与其余90%的开源包(如NPM、Python、Docker容器、Hugging Face模型)结合时,会发生什么?谁来保护你避免这些组合带来的问题?这是第二个问题,也是像JFrog这样的通用解决方案作为你的单一事实来源所解决的问题。
第三个问题,Anthropic通过云生成——顺便说一下,JFrog的开发人员正在使用Copilot和云。Anthropic生成了一个非常安全的源代码,安全性提高了10倍,并从中创建了二进制文件。二进制文件被推送到Artifactory,很好。然后OpenAI使用这个二进制文件构建其他源代码并创建另一个二进制文件。现在你有了依赖关系,谁来管理谁?你必须有一个执行层,不仅保护公司免受漏洞攻击,还要从创建到生产的整个软件供应链中管理、协调治理和安全。我很高兴看到不仅JFrog相信这一点,我们的一些客户正是那些实践这一点的原生AI公司。
是的。这是个很好的观点。我是说,你知道,JFrog的每个季度我都在,我们在IPO前就见过面。我是说,这似乎只是围绕JFrog的一个经典问题担忧的另一种表现。我是说,还记得吗,是微软,对吧?
是的。
比如,为什么微软不能做二进制包管理?而这个问题的解决方式是战略合作伙伴关系,对吧?而且我们也指出,你们也有领先的模型提供商作为客户。所以我认为——当我们考虑这场辩论的细微差别时,我认为下一个角度是,如果原生AI公司不会直接取代JFrog,它会侵蚀定价能力并给历史上高利润的业务带来压力吗?你如何看待AI显著降低像JFrog这样的现有软件供应商的终端价值这一观点?
是的,我认为20日星期五发生的事情是人们开始质疑终端价值,对吧?所以我们已经看到你们知道安全将会是什么样子。两三年前,人们问我们,你们能卖出安全产品吗?你们能解决OPSEC和CISO的痛点吗?我们证明了这一点,不仅通过我们交付的产品,还通过我们分享的ARR数字和RPO数字。我们向世界展示了拥有一个全面的解决方案而不是点解决方案来覆盖软件供应链意味着什么。
但终端价值的问题是,好吧,基于你的成功,我原以为是10%,也许是3%。现在我担心JFrog会被取代。在我看来,这很简单。代码代理正在以每小时的速度被采用。看到这个创新被行业如此迅速地接受真是令人惊讶。
代码代理不会睡觉。它们不会吃饭。它们不会休带薪假期。它们不会消失。它们只会创建越来越多的源代码。它们用越来越多的源代码构建并创建更多的二进制文件。这股二进制文件的海啸将在哪里着陆?存储、维护、依赖维护、安全、分发。它会去哪里?现在JFrog不仅是一个通用解决方案,它还是代理的瑞士。它也是DevOps的数据库。这些代理也在用你昨天创建并经组织批准的内容进行构建,这些内容在Artifactory中。不仅如此,它还是开源和代理的结合。
所以我认为,从终端价值来看,我们的世界越自治,就越需要治理、执行和规则来确保你的组织是安全的。所以我们对此非常兴奋。我理解市场表现出一些担忧或恐慌,我们有责任执行并证明情况并非如此。
太棒了。为了结束这一系列问题,我想请Ed加入对话。那么,在2月20日之后,在过去一周左右,你们宣布了首个3亿美元的股票回购计划。为什么决定启动股票回购?这仅仅是为了管理稀释吗?你们考虑在什么时间框架内完成这个计划?
嗯,感谢这个问题。有很多关于技术的问题。这背后有实际的财务和基本面因素。我们这样做的部分原因不是因为我们看到股价有很大的价值。而是因为我们继续产生现金,我们有强劲的基本面。我们有纪律地管理,我们继续产生现金。这给了我们这样做的灵活性。
现在,2月20日发生的事情,股票以那样的速度下跌,我们看到了一个部署资本的机会,在某种意义上稳定局面,表明我们坚信我们未来的执行能力。因此,我们实施了3亿美元的股票回购计划。这个计划会持续多久?这是开放式的。我们当然会在股价有利的情况下寻找机会,并相应地进行。但时间将取决于价格,我们会继续密切关注,我们认为这是资本的良好用途。
太棒了。也许继续问你,Ed。关于2026财年的指引,你们指引总收入增长17%-18%。云业务——抱歉,在30%到32%之间。与一年前相比,现在的需求环境似乎更具建设性,我们应该如何看待指引的保守程度?安全业务坦率地说也获得了更多的 traction。
是的。所以理念没有改变。事实上,2026年的理念与2025年完全相同。2025年发生的事情是,我们开始看到使用量超过最低承诺,这是2024年没有看到的。当我们进入2026年,市场情绪更好了。我们看到了更好的环境。我们看到使用量正在形成势头,但理念本身没有改变。
因此,假设事情继续按照2025年的方式发展,我们预计会看到比指引更好的表现,因为使用量超过了最低承诺。我们也看到我们的云——抱歉,我们的安全业务正在形成势头。只要我们继续转化这些机会,我们就会看到超过我们提供的指引的表现。但理念本身保持不变。
在我和Shlomi谈论市场走向之前,我能问一个后续问题吗?如果回到2024年,你们赢得了一些非常大的迁移机会,帮助业务增长。2025年的主题是客户使用量超过承诺,迁移方面可能较少。关于这两个特定方面,即迁移和超额承诺,你怎么看?你对2026年的初步假设是什么?
是的。因此,我们现有客户的使用量和这些客户的扩张将超过我们目前在迁移方面看到的情况。所以从迁移的角度来看,非常大的迁移项目目前处于暂停状态。我们仍然看到许多客户从自托管迁移到云。这一点没有改变,但美元金额和大型项目的规模处于暂停状态。因此,大部分增长将来自现有云客户的扩张,一些从自托管到云的小型迁移。
但是,就2024年我们看到的非常大的云迁移而言,目前,由于这些新兴AI趋势带来的可预测性问题和不确定性,这些迁移很可能在2026年处于暂停状态。
明白了。好的。了解进入明年的动态很好。Shlomi,我想谈谈软件开发周期的发展方向以及JFrog将扮演的角色。所以我认为,当我和投资者谈论这个类别时,这个领域存在很多混淆。代码只是将软件交付到客户手中的过程的一部分。AI在更广泛的软件开发周期中将扮演什么角色?在AI驱动的AI代理软件开发生命周期中,JFrog扮演的角色将如何变化?
是的。嗯,听着,如果这个会议上或世界上任何地方的任何人说他们知道AI将走向何方。我认为还为时过早。所以谦虚地说,看到AI如此迅速地做着它所说的事情,取代了某种人类劳动和简单测试,真是令人惊讶。我们将看到开发人员——第一阶段将是开发人员被代理赋能。
第二阶段将是开发人员从参与者转变为教练。他们将开始管理代理。我们将看到的第三件事是代理拥有完全的自治权,不仅能构建,还能一路将其推向生产。在JFrog,我们已经在关注这个阶段了。因为我认为我们将看到的趋势是越来越多的企业将明白B2B已经结束。
你必须考虑企业对代理(B2A),以及代理将如何因为我能提供的东西而选择我作为供应商。所以这是我们JFrog 2030(下一个五年战略)的重点,就是关于这种转变,但这需要时间。在那之前,我们将看到代理将生成的主要资产——二进制文件的增长。JFrog从第一天起就为这种规模而构建,不仅因为我们提供的混合云和多云解决方案,还因为我们构建的存储层比其他任何人都更具扩展性。以及我们对我们称之为二进制文件的这种资产的了解程度。
我们将看到的第三件事是安全方面将有所不同,并且会更加关注执行和治理,确保没有代理做疯狂的事情。这再次是你需要记录系统的时候。所以当我们展望未来时,我认为——这很简单。你会看到更多的二进制文件。你会看到对通用性、灵活性和AI技术更快采用的更多需求。Sanjit,最后一句话。我们还必须记住,随着所有这些好事的到来,攻击者和黑客也将拥抱AI,好吗?所以攻击者和组织之间的竞赛和速度将继续,因为没有黑客会说,我不使用云,或者我不使用OpenAI,或者我不使用Gemini。
软件的恶意方面也将变得更加复杂。我们必须围绕影子AI设置一些护栏,AI在哪里被使用,如何被使用,识别它,追踪它,确保治理也伴随着正确的可审计的签名工件。这样我才能信任它,而不仅仅是说有人在上面打了勾。
所以你经常提到的下一个演变是从DevOps、DevSecOps到DevOps的转变,这是一个非常有趣的观点。我还想听听你对市场结构的看法。我指的是,我想说在疫情前,如果你看DevOps市场,它相当分散,对吧?如果你看Infinity Loop并叠加所有供应商格局,你可能会数出50个不同的供应商。如果说——疫情后,进入更高利率环境,预算有点紧张。我们确实看到了整合的趋势。你们在安全方面一直从中受益。
问题是我们会进一步整合吗?硅谷的一些初创公司表达了这样一种观点,即一个无形的SDLC,所有工作流都在特定的代理平台中执行。你认为——随着我们进入这个领域,你认为这将是一个多供应商环境,一个异构环境?还是会是赢家通吃?
这是个很棒的问题。JFrog成立于15、16年前,当时DevOps甚至还不是一个词汇。我们称之为开发人员加速、自动化等等。然后它被广泛采用,自动化需求如此之大,成为了一个领域。然后演变为DevSecOps,因为DevOps构建速度快,然后开发人员变得快速而随意,每个人都希望加强安全性。所以DevSecOps出现了。
现在我们谈到了治理和DevGovOps。这种演变是存在的,你看到很多公司已经不在了。那些先驱者在哪里,他们要么被收购,要么消失了。很多这些工具已经商品化了。想想CICD。我记得有人告诉我,世界上的CICD公司会收购JFrog。想想容器。我记得有人告诉我Docker无处不在,顺便说一下,Docker直到今天仍然无处不在,即使在AI中,你也使用Docker。但是每个人都在谈论的整合在哪里。
我们不需要软件包的通用性。我们甚至可能不需要NPM,可能因为Docker而使用Python。但这仍然在发生。所以回到你的问题,什么真正被商品化了,或者什么样的商品化是有意义的。是围绕资产。我们开始看到,尤其是AI强调的是,世界分为两部分。你是基础设施公司还是应用公司?基础设施,很好,很棒。如果你是基础设施,你是平台还是点解决方案?
如果你只是一个源代码扫描器,完了,你出局了。IPO管道中没有人会说,我是一个点解决方案安全公司了。这在两三年前还是现实。那么你是平台吗?是的,我是平台,没问题,很好。下一个问题。你是基础平台吗,意思是你有源代码吗?你有提供的记录系统,你可以在其上构建价值吗?如果你是CRM记录系统,你可能是Salesforce。如果你是财务记录系统,你可能是Intuit。
如果你是HRIS记录系统,你可能是Oracle ERP。在软件供应链的世界里,由于二进制文件是主要资产,JFrog成为了记录系统,这就是我们为大多数客户提供支持的方式。所以你会看到更多围绕记录系统的整合,而不一定是解决方案,因为解决方案会被商品化。顺便说一下,从Copilot切换到云,从云切换到OpenAI有多容易,几个小时的事情。从你的记录系统切换有多容易?不可能。
是的。这是个很好的观点。让我们了解一下安全业务的最新情况。至少在过去两个季度,每个第四季度,你们都给了我们一些非常好的指标。那么,就安全业务的ARR而言,我们已经达到了ARR的10%,而去年是5%。安全业务占RPO的16%,而去年是12%,并且它越来越多地推动你们的大交易。考虑到过去几个月NPM和管道等安全事件,我们应该如何看待安全业务未来的附加率?你认为安全现在是结构性增长驱动力,而不是由一次性事件驱动的吗?
是的。所以我只能看管道。顺便说一下,一个轶事,我们管道中的任何机会,我们过去的任何胜利,都不是由于静态代码分析,也就是Anthropic宣布的内容。但是——展望未来,我看着管道,我们非常乐观,因为有一个真正的用例将JFrog视为一个整体解决方案。
我们的客户不仅仅在寻找秘密检测、上下文分析、二进制扫描、容器扫描,他们在寻找从代码创建到生产的完整软件供应链保护。这是我们在管道中看到的。我们看到的另一件事是攻击者已经完全转向攻击软件供应链。正如你提到的,Sanjit,2025年最后一个季度的Log4j,NPM [无法识别] 中间的MCP攻击、Python攻击、SolarWind攻击,都是软件包。
我刚才提到的一切都是二进制攻击。不仅如此,当你尝试用软件包进行修复时,这与源代码不同。你必须打开它并查看所有依赖项。所以JFrog现在在ROI、执行、治理方面带来的价值非常明确。我们也谦虚地理解,我们所有的客户在JFrog之前都有安全解决方案,安全领域的迁移不是一天就能完成的。我们有耐心,我们相信我们的价值,我们看到采用率在增长。这就是为什么我们不仅向你提供收入数字,还提供RPO数字和ARR数字是很重要的。
我的意思是,关于这一点,你过去提到过试图找到新的方法,帮助客户为安全附加组件找到预算?你能给我们更新一下你是如何解决这个问题的吗?除了安全覆盖团队和你为销售团队推出的一些激励措施之外,是否需要增量投资?
是的。我们看到的是组织的CIO和CISO之间非常密切的合作。这已经是一种混合预算,谁拥有什么。是的,这是一个不断增长的可寻址市场。为什么?第一,攻击者的思维方式不同。所以给你带来了新的威胁世界。第二,我认识的人中没有人愿意在没有首先确保其安全、可信和受治理的情况下采用AI,而这一切都属于安全范畴。所以在网关,即JFrog Curation的防火墙部分,你要确保所有进入的东西都是经过验证、批准的。护照控制是由组织政策批准的。
JFrog Curation是一个创新工具。世界上还有一两家公司提出了类似的建议。JFrog将其与Artifactory结合在一起。其他公司,即使他们有这个,也必须与Artifactory集成,就像你在记录系统之前设置一个 gate。这就是JFrog。所以当它来自JFrog时,这很清楚。现在Artifactory内部发生了什么。有一系列新的风险需要你缓解。我如何确保代理没有从任何人那里带来GPL许可证或侵犯他人的知识产权,导致我被起诉。最后一部分是分发到生产环境的内容。同样是二进制文件,我如何确保两个月前在AWS发生的事情——Kroll的一个代理决定完全自主,将某些东西推送到生产环境,抹去了整个区域。
这些需要以整体方式进行治理和保护,这就是为什么预算在增长,生命周期也是如此。老实说,我们不会立即看到结果。这是一个采用、教育、赋能的过程。我们看到了广阔的前景。
这是很好的背景。我想谈谈投资者应该如何看待JFrog的增长方程式——JFrog的基本增长方程式。我会把它交给你,Ed,请发表意见。但本质上,我去年发现非常有趣的是,你们100万美元的客户群体增长得非常好。我记得增长了49% [语音],10万客户,同比增长15%。客户总数实际上有所下降,部分原因是淘汰了一些最低ASP的账户。在这种背景下,你们目前的NRR为119%。当投资者考虑为JFrog承担什么样的增长方程式时,我们应该如何看待现有客户与新客户对增长的贡献?
是的。我先从战略开始。Ed,如果你想补充关于数字和ARR增长留存的内容。听着,大约3年前我们告诉过你们,我清楚地记得,因为我们完全改变了我们的销售和营销重点。我们正在追逐企业客户。当你构建一个解决方案,不仅是产品,还包括围绕它的服务、上市策略等等,当你为那些能证明你提到的超过100万美元的增长的合同而构建,持续增长超过10万到100万美元,持续增长;ASP也持续增长。当你为100万、200万、500万、2000万美元的客户构建时,你不能专注于每月150美元的客户。
我永远不会解雇客户,但我理解为什么当我在建造母舰时,他们只需要一辆自行车,他们看不到价值。去年的证据是,当我们将基本价格从Artifactory的每年3000美元提高到每年6000美元时,有些人离开了。为什么?因为即使每年只有3000美元,对他们来说100%也太多了。
对我来说,这标志着别的东西。如果JFrog的战略是成为你的记录系统,这些人并没有将JFrog作为记录系统来采用。所以这甚至不是谁是客户的问题,而是是否与我们的战略一致的问题。第二件事,然后Ed你从这里接着说。第二件事是回到2021年,人们购买收入。如果你想让我达到8000、10000个客户,很容易,很容易。我只需将价格降至每月50美元,客户数量就会爆炸。但这不是我们做的事情。
我们为企业构建产品。我们对此非常认真。这就是为什么我们也必须消除内部的所有摩擦。我们必须将300个实体归入其母公司,因为我带来了一个现场销售企业现场人员,他像章鱼一样进入组织,与CISO、风险团队、治理团队、DevOps团队合作。然后你听说有一个SDR在做内部销售,处理一些实体。当然,我必须消除这种现象,并进行整合,这减少了300个客户标识。Ed?
我会非常简短。增长算法与我们在2025年看到的非常相似。使用量持续增长,我们看到云业务在增长。我想提醒你,我们在2025年开始时,指引是31%。我们最终达到了45%。我们看到了非常相似的情况。安全业务,虽然我们没有给出安全客户的数量,但我们肯定看到了一个非常长的尾巴。我们今天有超过3000家企业客户。他们有能力交叉销售和通过安全产品增长,我们正在积极推动这一点。所以如果我们继续这样做,我认为2026年的结果将与2025年非常相似。
而且你看到了总留存率,对吧,超过97%。你算一下,就会明白我们在2025年获得的数百个客户,他们的ASP要高得多,净美元留存率也增长了,所以很简单的数学。
太棒了。非常感谢Ed和Shlomi给我们带来JFrog的最新情况。
感谢你们邀请我们。
谢谢。
愿青蛙与我们同在。
谢谢。太棒了。