Ed Grabscheid(首席财务官)
Jeffrey Schreiner(投资者关系负责人)
Mark Murphy(Raymond James)
身份不明的参会者
[突然开始]在Raymond James,JFrog是我们基础设施和安全软件覆盖范围的一部分。非常高兴团队能来到这里。我们有首席财务官Ed Grabscheid;Jeff Schreiner担任JFrog的投资者关系负责人。感谢你们的到来,各位。
感谢你邀请我们,Mark。
谢谢。
那么,我想对于那些刚接触这个故事或者最近正在认真研究的人,我们可以从JFrog的成立开始谈起。创始人看到了什么,是什么市场机会促使他们创立公司,以及我们今天所处的位置?
好的,当然。我先从15年前他们创立公司时的愿景和想法说起,那与二进制文件有关。当时没人知道二进制文件是什么。很神奇吧。你要是谈论二进制文件,别人会以为你一定是在写代码。但事实并非如此。实际上——如果你回到几十年前,那时会有更新。那些更新可能一年一次,或者每两年一次。那时候你编写代码,然后将其转换为二进制文件,再从那里部署,然后进行更新。你会用USB或者磁盘。
然后发生的是,开发运维实践开始加速,他们需要一个仓库来接收所有二进制文件,对其进行组织、安全保护并部署这些二进制文件。这变成了一个更复杂的过程。这就是JFrog创立的原因。他们看到了管理二进制文件的机会。在当时,这并不是一个很吸引人的业务。这就像是淘金热时的镐和铲子。这就是业务的开端,并且开发人员很喜欢它。如今,我们不再需要讨论二进制文件了。我认为很明显,二进制文件对软件供应链至关重要,这就是为什么JFrog正成为开发人员和企业非常受欢迎的工具。更重要的是,企业看到了二进制文件的价值,并且在过去三年中,我们看到越来越多的大型企业采用JFrog,这种趋势在加速。
Jeff,有没有办法向那些技术不太精通的人解释什么是二进制文件?我相信你经常会被问到这个问题,但是你怎么向JFrog的人解释呢?对于技术不太精通的人来说,什么是二进制文件?它的价值是什么?
当然。我想,从一个技术不太精通的人的角度来解释再好不过了。那么,什么是二进制文件?当你开发软件时,很多参与过软件开发或有软件开发历史的人都非常熟悉源代码。那是很多人机交互发生的地方。那是我们仍然能在某种程度上读懂的语法,尽管它可能是英文、希伯来文、德文,但我们总能读懂那部分内容。而二进制文件的世界一直有点不透明,因为它是被创造出来的世界。我称之为矩阵。我们就是矩阵。我们是在你创建源代码并点击编译后产生的那些0和1。
那么二进制文件是其中的哪一部分呢?二进制文件部分是,在你刚刚构建的源代码中,只有10%到20%的部分会与来自组织外部的各种不同类型的包结合,以帮助完成构建,这些结合在一起就创建了一个软件包或二进制文件。我们一直试图使用的最好例子,我认为我们都能理解,就是我们手机上收到的软件更新。那是什么?那就是一个二进制文件,它被部署到广泛的领域和市场中。
同意。所以这些年来,你们已经发展成为软件供应链的记录系统,这意味着什么?你们为了成为这样的系统进行了哪些投资?
我们进行了很多投资。第一项投资是从Artifactory的单点解决方案发展为平台。开发人员最初喜欢的是作为单点解决方案的Artifactory。我们当时说,我们必须进一步开发Artifactory,使其成为一个从头到尾的完整平台。现在我们看到,超过56%的收入来自EPlus。这就是完整的平台。它提供高可用性,具备分发能力,我们很大一部分收入来自这个完整平台。第二步是围绕安全扩展该平台。我相信我们会更多地谈论我们对Vdoo的收购,但我们有一个平台安全产品,它位于Artifactory平台之上。
下一步将是围绕DevGovOps的合规和治理,我们在swampUP上进行并宣布了相关投资。去年,随着人工智能开始普及,我们看到治理和合规变得至关重要。这有望成为JFrog的下一个增长阶段,虽然我们不知道这将在何时发生,但这将是JFrog的下一个增长方向。
好的。很棒的背景介绍。如果我们能再提供一些背景信息就好了。那么,你能谈谈不同的业务板块吗?你们有云业务,有自管理业务,或许可以阐述一下这些领域各自的增长驱动因素?
好的,2025年我们的云业务表现非常出色。我们在年初希望使用率能回到2024年、2023年之前的一些水平。结果我们看到了极强的使用率。我们的云业务实现了45%的增长。我们看到很多不同的客户使用量超过了他们的最低承诺,并且我们将继续通过扩大承诺以及客户继续使用超过最低承诺的部分来推动使用率。我们通过存储和数据消耗来实现货币化。你提到的另一部分是自托管业务。自托管业务通过服务器数量来实现货币化。因此,我们不像市场上那些通过开发人员席位来 monetize 的客户或公司那样,这是很多人担心的问题。
由于我们在自托管业务上的 monetize 方式,我们实际上可以抵御这种情况,如今许多人工智能实验室选择自托管。通过服务器数量(抱歉,不是开发人员数量),我们仍然能很好地保障增长。然后在此基础上还有安全业务。我们的许多客户选择安全业务。即使你是自托管客户,安全业务大多数时候也会部署在云端。这样它可以不断更新,客户就能拥有最新版本。
那么,你如何看待当前的利润率增长与长期目标相比呢?
我们本质上是一家增长型公司。我们非常专注于收入增长。这是不言而喻的。好处是我们继续进行明智的投资。我们对Vdoo进行了投资,通过安全扩展了平台。我们对Qwak进行了投资,扩展了我们在大型语言模型和人工智能能力方面的功能。正如我提到的,去年我们宣布了在治理和合规方面的投资。显然,我们在正确的领域进行投资,并且公司内部有纪律,使我们能够真正平衡这些投资与增长。本质上,我们看到利润率在扩大。
现在,我要告诉你,为了推动增量增长,我愿意放弃几个百分点的利润率。但我们有很好的平衡,并且作为一家公司,我们继续实现非常强劲的“50规则”。但我们非常非常强大。不过,为了产生增长,我们会考虑略微调整利润率。
我还想补充一点,Ed和财务团队以及我们看待事物的方式,我认为我们尝试使用我刚才谈到的框架。“40规则”是我们的驱动力,你需要在增长和利润率之间取得平衡以实现这一目标。
好的。Ed,我认为你担任首席财务官时做的最重要的事情之一就是改变了指导方针理念。你能谈谈这个变化,为什么会发生这种变化,以及你现在的理念是什么吗?
好的,我担任首席财务官已经进入第三年,但我在公司已经快七年了。所以我有很多历史。我作为财务规划与分析副总裁带领公司上市,因此我对指导流程以及公司的发展历程有深刻的理解。公司发生了结构性的变化。三四年前,一笔20万美元的交易是一笔大交易。如果这笔交易被推迟,你可以通过谈判将其他几笔交易拉入本季度。如果有较小的交易或大型交易推迟,而有较小的交易来替代,那么从收入角度来看,本季度业绩未达预期的威胁较小。我们大力投资于市场推广,以成为一家企业公司。当你这样做时,需要一点时间,但现在有机会达成七位数和八位数的交易。
去年,我们完成了公司历史上三笔最大的交易。当这类交易变动时,无论你的渠道中有多少百万美元的交易,都很难弥补。这促使我们改变指导方针理念。我们做了什么?2024年第三季度,我决定改变我们的理念,我们只根据承诺进行指导。这意味着什么?这意味着我们向你指导我们从云承诺中看到的情况。我们排除了任何超过最低承诺的使用量,无论上一季度的使用量有多强劲。我们还排除了最大的交易。其中许多交易是添加了安全功能的交易,或者是从自托管迁移到云的交易。如果这些交易在本季度达成,将对我们的指导产生积极影响和上行空间。
那么,想想2025年,你们全年都有增长加速。超出预期的幅度越来越大。我在想,如果我们翻开2026年的日历,对于一个新的投资者来看这个故事,他们是否应该更基于2025年和2026年的情况,并且将你们的指导视为2026年的下限是否合适?
是的,是的,正是这样。我认为你在我们的讨论中提到了重点。我们在指导中设定了一个下限。这考虑了使用量的任何波动。我们看到人工智能领域出现了新的使用趋势。这些趋势可能会上下波动,所以我们希望保护自己免受这种上下波动的影响。我们还考虑了这些大型交易的一些不确定性以及这些大型交易的时间安排。因此,通过设定下限,这与我们在2025年采用的策略非常相似。任何超出预期的表现都将由两个因素驱动:超过最低承诺的使用量,以及大型交易及其完成时间。这将产生超出预期的表现。关键是,我们设定了一个下限,这考虑了所有这些不确定性,我们预计这个下限将是最低值,之后只会有上行空间。
好的。人们在2026年关注的关键事情之一可能是2025年你们的安全业务情况。去年安全业务占ARR的10%,比2024年的5%翻了一番。所以,Jeff,也许你想先谈谈,是什么推动了Curation和JFrog高级安全业务的如此快速增长?然后Ed,也许你可以谈谈你对2026年安全业务贡献的看法?
当然,我先来说。谢谢你,Mark。我认为我们向你们展示的最好的东西是让你们了解安全业务的情况。当我们谈论安全时,要明白我们有安全的各个方面。第0层或非常基本的安全级别包含在我们的企业订阅中,甚至现在我们的基础订阅中,是通过我们称为Xray的工具进行软件成分分析的利用。这是在JFROG平台中利用安全的一种方式。我们认为这是保护自己免受组织外部漏洞影响的最基本方式。
通过收购Vdoo,我们开发了另外两个安全产品,作为我们平台的附加组件出售。因此,它们是我们整体增长和收入构成的增量贡献者。我想说,直到2025年第三季度左右,这两个产品在部署和渠道方面大致是50/50。我所说的一个产品是Curation,它更像是一个防火墙产品。它位于你的IDE工作站之外。另一个产品更多的是软件供应链方面的。可以把一个看作是保护城堡,城堡周围的墙,另一个看作是保护城堡内部,防止可能变坏的好公民。
然而,我们在2025年受益,当然我认为这更多是企业方面的受益。企业开始意识到攻击向量,这是我一年、一年半以来一直在和你们谈论的,为什么我们有权在安全领域占有一席之地,这种情况已经改变。在我们看来,为什么会改变?去年下半年,你有一个最大的开源代码库,一个组织从外部引入的最广泛使用的软件包之一,以一种非常复杂的恶意方式被黑客攻击。
这确实唤醒了企业,拥有这种Curation产品的需求强劲,自这次事件以来,不仅部署需求强劲,Ed会告诉你,我们的渠道中这种需求仍然非常强劲。这是因为我可以在IDE外部设置一个集中策略,规定只有这些代码库和这些包被允许进入我的沙箱,可以这么说,我可以在其中进行操作。我相信我们稍后会谈论这个,但这是在设定人类或代理在我的组织中可以利用的规则。
现在,高级安全在软件供应链方面做得更多。具有讽刺意味的是,它涵盖了七个单点解决方案,即七种不同的技术集于一体。但有三个真正推动了这一点。其中之一是秘密检测。 behold,这是在源代码中已经做了20年的事情,但我们能够证明我们做得更好。另一个是上下文分析,这类似于其他人可能在ASPM中更多地尝试在运行时做的事情,我有所有这些漏洞。好吧,如果我的房子是锁着的,厨房里的漏洞真的是一个问题吗,对吧?
最后是容器安全。这三个是引起兴趣的主要因素。我相信它会到来。但是静态代码分析的重点,这包含在高级安全中,我们在2025年没有从中获得任何贡献,今天的渠道中也为零。这真的更多是一种基本要求的包含。而且,正如Ed会告诉你的,如果我要去找首席信息安全官,要求从SaaS的预算中拨款来替换软件供应链中的某些东西,我仍然需要说如果需要的话我有这个功能,对吧。更多的是,你看到我们业务中的这种情况是通过与GitHub的关系,他们在源代码领域进行高级安全,我们在软件供应链中进行高级安全。
然后,首席安全官可以通过一个控制台查看双方的漏洞和修复情况,然后随着时间的推移替换8到10个工具。所以我认为两者都有其独特性。我喜欢向投资者指出,Curation更像是咖啡因带来的兴奋,因为它就在这里,我必须立即让更多的开发人员支持它,以便立即与Artifactory交互。而高级安全是我在一份三年合同中逐步采用的,但是我每年可能替换一两个工具。现在,对于那个工具的订阅有逐步增加的步骤,但我相信,我们会看到一些客户在他们的第一个三年协议中替换所有这些工具。所以你会看到一个更长期的影响,这将是一个刚刚开始展开的多年趋势。
是的。我们给出ARR百分比和RPO等指标的原因之一是为了让大家了解我们在安全方面的渗透情况。我们承诺每年更新一次。我不一定会提供关于我对安全业务期望的指导,但我们显然已经展示出了巨大的势头,我们预计这种势头将继续下去。Jeff提到了这一点,我们所看到的,这种热潮,我只能谈谈渠道情况,但渠道中的热潮,如果我们能够转化所有这些机会,我们的安全产品将继续取得非常强劲的成果。
好的。也许继续Jeff刚才谈论的内容,2月20日的Claude Code Security在网络安全行业引起了一阵冲击波。JFrog在那天,或者至少那天下午,受到了很大的关注。但是也许你可以澄清一下。我知道你们的首席技术官和联合创始人在网站上发表了一篇很棒的博客文章,但也许你可以总结一下Claude Code Security的目标是什么,以及它与JFrog的业务有何不同?
当然,我很乐意。在我们所处的环境中,过了这么多问题才谈到这个,我很惊讶。是的,这与我们第三季度业绩公布前一周看到的公告非常相似,当时OpenAI宣布了一个静态代码分析工具,一个源代码扫描器,叫做Aardvark。当时造成了一些干扰。自从这个公告以来,我们和其他公司都受到了干扰。甚至网络防火墙类型的公司也被卷入其中。然而,我认为你需要以某种方式看待事物。我认为今天讨论的很多内容在过去已经有过争论,并且也偏离了我们前进的方向。我这么说是什么意思呢?
好吧,首先,我四年前来到这里时,我和你们很多人面临的争论是,有一家公司开发了源代码,他们会直接进入并打压JFrog,因为二进制文件只是下一个要淘汰的东西,而且这很容易做到。我认为四年前,我们左边有更大的公司,如果企业想要那样运作,我认为你会看到那样的结果。
今天我的很多讨论中,我试图向人们强调,你提出的观点很好,但你开始谈论的好像我要从整合单点解决方案回到在我的架构周围添加单点解决方案来补充Claude可能正在做的事情。所以我想你提到了Yoav的[语音]博客。谢谢,因为我认为对于我们所有非技术人员来说,Yoav能够举出一些我一直在使用的例子,我发现这些例子可能会让每个人都恍然大悟。
我认为我们需要考虑的一些差异是,假设企业会允许编写代码的人,无论是机器还是人类,然后批准该代码。这对我们来说就好比。我们把代理看作律师,这就好比两个律师同时担任法官,然后试图推翻所有人的决定。那将是完全的混乱,对吧?没有法官的法庭是什么样的?它会说,听着,律师先生,做你出色的工作,但我的法庭,我的公司有规则。你可以在这些规则内做你的事情。
现在,关于安全,可以这样想。我们都使用Claude。我喜欢它。我不是那么聪明,但我可以应付。我相信有很多高手可以用它做惊人的事情。但是想象一下,天哪,假设你是一家决定用Claude来保护你的软件的公司,然后发生了数据泄露。我们在法庭上,法官说,好吧,你能给我看看治理检查点吗?嗯,不能,先生。我这里有Claude聊天记录,Claude修复了它。那是行不通的。
在部署该应用程序之前,你必须展示治理检查点。我就说到这里,给你留下这个,因为我认为这在我看来结束了一些讨论。我们相信,我们今天是成为人工智能和人工智能公司记录系统的市场领导者。无论是我们还是其他人,都将有一个记录系统,就这样,毫无疑问。编写代码的人不会批准代码,我认为这就是那个论点有点站不住脚的地方[难以理解]。
明白了。说得非常好。也许我可以继续这个话题。你提到了治理。JFrog AppTrust去年推出了。我想Ed之前提到过。考虑到你刚才所说的治理、安全的重要性以及使用人工智能工具,今年会不会是它的突破之年?
是的。我们刚刚发布了我们的治理产品AppTrust。这是一个新产品。所以,我们正在开始建立它的渠道,并且我们开始看到一些很好的 traction,甚至可能有一些客户在POC阶段使用它。但是,我还没有将任何新产品纳入指导中。所以,如果有机会让它取得突破,在这个阶段,它只会超出我们已经指导的范围。
好的。Ed,你刚刚连续第六个季度实现了40%以上的RPO增长。非常令人印象深刻。但尽管有人担心人工智能会占用软件预算。但这似乎没有发生在你们身上。那么,我想解释一下为什么JFrog没有看到人工智能蚕食种子或占用软件支出?
嗯,首先,在种子方面,基于我们的 monetize 方式,我们对此免疫。其次,这是一个战略举措。这不是一夜之间发生的。这是我们三年前向企业迈进的一部分,引入合适的销售人员来执行这一战略,同时也受到那些企业客户和签订多年合同需求的推动。因此,当他们对JFrog做出承诺时,如果你看看我们的总保留率,97%的总保留率,一旦他们对JFrog做出承诺,他们就不会流失。
因此,他们希望通过扩大Artifactory和平台的承诺,在其上添加安全功能来增加他们的承诺,并且他们不想回到采购部门。他们当然不想回到首席财务官办公室要求更多预算,所以他们更喜欢进行多年谈判,并具有逐步增加的功能,确保价格以消除任何通胀变化,并对JFrog做出大胆承诺。这是他们确保多年价值的方式,这反映在我们的RPO中。
Mark,我只想补充一件事,我一直在想,你在谈论人工智能的影响以及它对我们业务的影响。我认为你并没有真正看到JFrog受到那种影响,因为尽管JFrog在很多公司仍然是基础设施参与者,我们已经看到了发生的情况。管道保持不变,因为你不想把它从墙上拆下来。水槽可能会改变,而且如果我没记错的话,在过去16个月里,水槽已经换了3次。
所以,移动水槽比把管道从墙上拆下来更容易。我认为这是我帮助人们思考问题的另一种方式,这也是早期可能阻碍我们的原因,增长缓慢且渐进,因为我不想在管道上做出错误的决定,然后不得不把它拆下来。所以,我们非常有粘性,我们有粘性是因为我们处于组织的基础设施层,即管道层。
我再问一个问题,然后可能开放给观众提问。我想,昨晚有报道称OpenAI可能正在开发GitHub的替代产品,GitHub是你们的亲密合作伙伴之一。我们在人工智能原生企业方面也取得了很好的进展。那么,你能谈谈像OpenAI这样的公司推出新的代码仓库对JFrog意味着什么吗?
嗯,这是源代码。我认为这对JFrog来说意味着只是另一个可以合作的对象,另一个“集成到无法失败”的合作伙伴。Mark,我不会忘记,我们目前有两家每个人都想谈论的公司,一家现在与政府发生了争执,另一家现在与授予他们免费云服务的所有者发生了争执。所以,我认为这更多是源代码世界会发生什么的影响,水槽是否会改变更多是这种影响。我认为这真的再次与软件开始以来就一直在做的事情有关,即源代码的创建。那是人机交互最多的地方。因此,我认为这是机器真正在做的事情——学习我们的语言,写得更好,做得更好——最容易发生颠覆的地方。
在我们开始提问之前,我认为Jeff说了一件非常非常聪明的事情,那就是JFrog具有普遍性,任何东西都可以与这个记录系统集成。我们是软件供应链的核心。所以无论是GitHub、Atlassian、BitBucket,还是最终是Claude或OpenAI,它们都必须与JFrog集成,这才是重要的。然而,市场在变化,谁成为用于源代码的应用程序,他们都必须与JFrog集成。这就是价值主张,这就是我们创造的护城河。我们支持的技术、语言数量、普遍性、多云能力、混合云能力,所有这些都为JFrog创造了价值。这就是为什么我们觉得我们在人工智能面前非常有防御能力。
说得好。观众有什么问题吗?请讲。
我只是想了解Xray Curation。也许可以描述一下他们到底是做什么的,他们如何验证规则的涉及?比如是公司里有人在编写规则,还是你们在编写规则,这是怎么运作的?
是的,我可以为你回答这个问题。所以你是在比较——问题是你能比较软件成分分析和Xray的作用以及Curation吗?我认为我们看到的最近的NPM[语音]事件可以让你了解发生了什么,因为我们有部署了Curation的客户,其中一些客户,我可以引用一个客户的话说,你救了我的感恩节。我们有一些客户部署了Curation,但正如你所指出的,我是首席安全官,我制定政策,规定我将允许Curation指向哪些代码库,以及在将外部代码库中的哪些包引入我的组织之前应该检查哪些包。
现在,如果在NPM黑客攻击期间我没有设置我的政策,即使我有Curation,我可能也不得不使用Xray。我们仍然认为,作为一个良好的实践,你应该使用Xray。即使你说,我只允许这四个包进入我的组织。现在,在Curation出现之前的做法可能会回答你的问题。Curation是由我们的客户推动的产品。为什么呢?因为在Curation出现之前,你有两种做法。要么你引入所有包并用Xray扫描,然后觉得在那种意义上你得到了保护,要么你不引入任何包,进行构建,然后请求批准,并希望在你完成应用程序构建时该包得到批准。
所以,我们的客户来找我们说,如果你能创建某种集中政策,一个防火墙,让我能够集中控制我的开发人员甚至能够访问什么,那就太好了。这就是为什么Curation比SCA和Xray真正做的事情高出一个层次。有很多人做SCA和Xray。Curation是独一无二的。
[技术问题]到底是什么?
所以,它是一种分解。就像,从包中提取出来的东西叫什么?所以,它正在打开包,查看包的内容,查看它是什么版本,包含了什么。这是我应该使用的最新版本吗?所以,它试图检查并有点像拆解包,然后重新构建包,以确保它实际上是我试图使用的包,并且没有已知的已记录漏洞。
好的,我想我们就问到这里,但我们在楼下的Cordova 6号房间有分组讨论,可以继续交流。但在此之前,Ed和Jeff,在最后几秒钟,你们有什么想总结的吗?
是的,我们还有几秒钟时间,所以我要说现在有很多干扰因素。整个开发运维的格局正在变化,开发安全运维也是如此。我们保持非常专注。所以,在外部这种混乱的情况下,我们保持一致并专注于我们的目标。我们将实现可持续增长。我们将继续专注于我们谈到的规则。这是我们的指导原则。盈利能力和增长之间的平衡肯定是我们会考虑的事情。但同样,我们将在2026年继续专注于交付和执行。
谢谢你,Ed。谢谢你,Jack。
谢谢你,Mark。
谢谢。
谢谢大家。