JFrog Ltd(NASDAQ: FROG)是JFrog软件供应链平台的创建者——该平台是现代企业存储、安全管控与分发软件二进制文件的事实标准"记录系统"。公司以旗舰产品JFrog Artifactory(一款支持32种以上软件包格式的通用二进制仓库)为核心,已进一步拓展至DevSecOps领域(安全扫描与开源软件策展)以及最新的MLOps和智能体AI治理。
FY2025营收达5.318亿美元(同比+24%),云端/SaaS业务增长最快(+45%,并于2026年Q1跨越营收占比51%的门槛)。2026年的投资叙事由一组核心张力定义:JFrog是一家具有宽护城河、高客户留存率的细分赛道领导者(在Gartner 2026年6月首次发布的软件供应链安全魔力象限中荣膺领导者,且"执行能力"位列所有入选厂商之首),并顺应AI驱动的"二进制文件海啸"这一可信的长期顺风;然而,公司从未实现GAAP盈利(股权激励约占营收30%),且在从2026年2月低点34.05美元累计上涨+174%至52周高点93.12美元后,股价(截至2026年7月1日约为90.92美元)已高于分析师共识平均目标价。
JFrog采用纯订阅制商业模式——无专业服务收入。营收分为两个会计口径:
定价采用分层席位/用量模型(Pro、Enterprise、Enterprise+)。Enterprise+在2026年Q1的营收占比已达约58%。云端业务愈发受用量驱动(存储 + 数据传输 + 扫描量)。
| 交付模式 | FY2025营收 | 占总营收比例 | 同比增长 |
|---|---|---|---|
| 云端 / SaaS | 2.433亿美元 | ~46% | +45% |
| 自托管订阅 | ~2.595亿美元 | ~49% | ~+9% |
| 许可证(自托管) | 2900万美元 | ~5.5% | +35%(时序性) |
| 合计 | 5.318亿美元 | 100% | +24% |
JFrog不披露各单一产品的收入明细;平台以分层捆绑包形式销售。唯一拆分披露的是"安全核心"(Xray + Curation + Advanced Security),该部分在FY2025中占营收7%、占年度经常性收入(ARR)10%、占剩余履约义务(RPO)16%。
| 产品/服务 | 估算占比 | 描述 |
|---|---|---|
| JFrog Artifactory(通用二进制仓库) | ~80–85% ARR(基础) | 通用二进制仓库(支持32种以上格式:Docker、Maven、npm、PyPI、Go、Helm、NuGet等)。平台的单一事实来源及主要"落地"引擎。 |
| 安全核心(Xray + Curation + Advanced Security) | 营收7% / ARR 10% / RPO 16% | Xray = 软件成分分析/漏洞扫描;Curation = 基于策略的软件包入口防火墙;Advanced Security = 密钥检测、类SAST功能、运行时暴露面分析。增长最快的附加模块。 |
| JFrog Distribution(全球分发) | 捆绑于Enterprise+ | 向边缘/云端区域的全球分发式发布交付。 |
| JFrog Pipelines(流水线) | 捆绑;被逐步淡化 | 原生CI/CD编排(JFrog主要依托GitHub Actions/Jenkins集成)。 |
| JFrog ML / AI Catalog(AI目录) | 初期阶段 | ML模型存储与治理(通过2024年7月约2.3亿美元收购Qwak AI获得)。定位为"AI模型版的Artifactory"。 |
| AppTrust / MCP Registry / Agent Skills Registry | 初期阶段 | 基于证据的发布治理;运行时漏洞检测;首个企业级MCP服务器注册表;AI智能体技能注册表(与NVDA合作)。 |
研发团队集中在以色列(地缘政治风险因素);全球员工总数约1,800人。
客户集中度极低。JFrog的10-K年报确认单一客户营收占比均不超过10%,前10大客户合计约占营收9%。《财富》100强中约83%为其客户。客户总数约6,600家并有意收缩(主动精简中小企业客群),而高价值客群持续增长:
| 客户 | 股票代码 | 估算营收占比 | 合作关系 | 集中度风险 |
|---|---|---|---|---|
| AT&T | T | <1%(估算) | SwampUP 2025命名参考客户;企业容器/制品管理 | 低 |
| Splunk(思科) | CSCO | <1%(估算) | 长期案例研究;每日管理TB级数据吞吐量 | 低 |
| Woven Planet(丰田) | TM | <1%(估算) | 自动驾驶软件交付;安全关键型DevSecOps | 低 |
| Avaya | AVYA | <1%(估算) | 跨CI/CD的多语言软件包管理 | 低 |
| Amazon / AWS | AMZN | <1%(估算) | 战略合作协议;市场合作伙伴(同时也是供应商) | 低(双重角色) |
| 《财富》100强(汇总,未具名) | 各异 | 前10大合计~9% | ~85家《财富》100强,覆盖金融、科技、制药、电信、零售 | 低 |
最大的营业成本投入来自支撑JFrog SaaS交付的第三方云基础设施。三大超大规模云厂商同时扮演供应商、分发渠道和竞争对手三重角色——这种"合作-竞争"动态是JFrog供应链最显著的结构性特征。
| 供应商 | 股票代码 | 供应内容 | 估算营收成本占比 | 风险等级 |
|---|---|---|---|---|
| Amazon Web Services | AMZN | 主要SaaS云基础设施(计算/存储/出口流量);市场分发渠道 | ~占营收10–14%(估算) | 高——同时运营CodeArtifact/ECR竞品 |
| Microsoft Azure | MSFT | 云基础设施(多云) | ~占营收4–6%(估算) | 中——Azure Artifacts/ACR形成竞争 |
| Google Cloud | GOOGL | 云基础设施(多云) | ~占营收3–5%(估算) | 中——Google Artifact Registry形成竞争 |
| Qwak AI(2024年7月收购) | — | MLOps知识产权/人才;营业成本中的无形资产摊销 | ~1–2个百分点的毛利缺口 | 低(内部) |
注:云端营业成本占比系从毛利率结构估算(FY2025 GAAP毛利率76.8% vs. 非GAAP 83.3%;约6.5个百分点的差距来自SBC+收购无形资产摊销),并非披露的明细项目。据报道,AWS EKS + Graviton优化使JFrog相关云端成本降低约20%。
| 指标 | 数值 | 评估 |
|---|---|---|
| 负债权益比 | 0.01(1250万美元租赁/8.874亿美元股权) | 健康——实质上无金融债务 |
| 利息覆盖倍数 | 不适用(无付息债务) | 不适用——每年净利息收入约2500万美元 |
| 流动比率 | 2.14(8.730亿美元/4.075亿美元) | 健康 |
| 净现金 | +6.920亿美元(无净债务) | 非常健康 |
| 现金及短期投资 | 7.044亿美元 | 充裕 |
| 营运资本 | 4.655亿美元 | 健康 |
财年 = 日历年(12月31日)。营业利润率以GAAP口径列示;非GAAP口径在正文中注明。FY2026E/FY2027E为分析师共识预测。
| 财年 | 营收 | 同比% | 毛利率% | GAAP营业利润率% | GAAP净利率% | GAAP摊薄每股收益 |
|---|---|---|---|---|---|---|
| FY2021 | 2.067亿美元 | +37% | 79.8% | -33.1% | -31.1% | -$0.68 |
| FY2022 | 2.800亿美元 | +35% | 77.8% | -32.1% | -32.2% | -$0.91 |
| FY2023 | 3.499亿美元 | +25% | 78.0% | -21.6% | -17.5% | -$0.59 |
| FY2024 | 4.285亿美元 | +22% | 77.1% | -21.3% | -16.2% | -$0.63 |
| FY2025 | 5.318亿美元 | +24% | 76.8% | -17.3% | -13.5% | -$0.62 |
| FY2026E | ~6.30亿美元 | ~+18.5% | ~77% | 持续改善 | 亏损收窄 | -$0.52(GAAP)/ $0.95(非GAAP) |
| FY2027E | ~7.42亿美元 | ~+17% | — | — | — | $1.12(非GAAP) |
| 财年 | SBC金额 | SBC占营收比例 |
|---|---|---|
| FY2021 | 5690万美元 | 27.6% |
| FY2022 | 6870万美元 | 24.5% |
| FY2023 | 9520万美元 | 27.2% |
| FY2024 | 1.311亿美元 | 30.6% |
| FY2025 | 1.567亿美元 | 29.5% |
SBC约占营收30%,是GAAP与非GAAP之间最大的调节项,也是导致公司持续GAAP亏损的根本原因。摊薄股本数量从约9500万股(FY2021)增至约1.18亿股以上(2026年),四年累计稀释约24%。
| 财年 | 经营现金流 | 资本支出 | 自由现金流 | 自由现金流利润率% |
|---|---|---|---|---|
| FY2021 | 2790万美元 | -420万美元 | 2370万美元 | 11.5% |
| FY2022 | 2140万美元 | -430万美元 | 1710万美元 | 6.1% |
| FY2023 | 7420万美元 | -200万美元 | 7220万美元 | 20.6% |
| FY2024 | 1.109亿美元 | -310万美元 | 1.078亿美元 | 25.2% |
| FY2025 | 1.457亿美元 | -350万美元 | 1.423亿美元 | 26.8% |
| 风险 | 类别 | 发生概率 | 影响程度 |
|---|---|---|---|
| SBC稀释的永动机效应 | 财务 | 高 | 中高 |
| 估值压缩 | 财务/宏观 | 中高 | 高 |
| 始终无法实现GAAP盈利 | 财务 | 高 | 中 |
| AI去中介化 | 技术/竞争 | 低中 | 高 |
| 增长减速 | 运营/财务 | 中高 | 中高 |
| 客户总数下降 | 运营 | 高 | 低中 |
| 内部人士持续减持 | 治理/情绪 | 高 | 低 |
| 以色列地缘政治/研发集中风险 | 地缘政治 | 中 | 中高 |
| 安全领域竞争 | 竞争 | 中高 | 中 |
| 账单金额/现金转化率软化 | 财务 | 中 | 中 |
| 催化剂 | 时间线 | 可能性 | 影响程度 |
|---|---|---|---|
| 2026年Q2财报 | ~2026年8月初 | 确定(事件) | 高 |
| 安全附加销售转化 | 6–18个月 | 中高 | 中高 |
| AI Catalog / MCP / Agent Skills货币化 | 3–12个月 | 中 | 中高 |
| NVIDIA / Anthropic / Cursor深化合作 | 持续 | 中高 | 中 |
| 被动指数资金流入(罗素指数) | 已于2026年6月26日实现 | 已实现 | 低中 |
| 分析师持续上调评级 | 持续 | 中 | 中 |
| 3亿美元回购执行 | 持续 | 中 | 低中 |
| GAAP盈利拐点 | 12–24个月以上 | 低(近期) | 中 |
2026年6月,Gartner发布首份软件供应链安全魔力象限(18家入选厂商,8家领导者)。JFrog荣膺领导者,并在"执行能力"轴上位列所有厂商之首——这是对运营执行力最高的认可。
| 公司 | 股票代码 | 细分规模 | 市场地位 | 核心优势 | 相较JFrog的核心劣势 |
|---|---|---|---|---|---|
| Sonatype | 私有(Vista持股) | ~2.93亿美元营收;~1.99亿美元ARR(估算) | 第一直接竞争对手(二进制仓库) | 免费Nexus OSS草根渗透;SBOM叙事 | Gartner指出缺陷(流水线/工作区安全、密钥检测缺失);以Java为中心;增长较慢 |
| GitLab | GTLB | ~8亿美元总营收 | 一体化DevSecOps | 全合一SCM+CI/CD+安全+软件包 | 软件包注册表仅支持约7种格式;正在为2027年构建JFrog迁移工具——仍处于追赶阶段 |
| GitHub / Microsoft | MSFT | GHAS捆绑于GitHub Enterprise | 分发巨头 | 1.3亿以上开发者;CodeQL + Dependabot + 密钥扫描 | 软件包约7种格式;仅限源代码(二进制文件盲区);非通用仓库 |
| AWS(CodeArtifact + ECR) | AMZN | 捆绑/商品化 | 低端商品化竞争者 + 供应商 | 对AWS原生团队最廉价;IAM/SageMaker集成 | 仅约8种格式;仅限AWS;无统一治理/深度安全 |
| Google Cloud(Artifact Registry) | GOOGL | 捆绑 | 单云商品 | GKE/Cloud Build集成 | 单云;无通用格式/安全深度 |
| Snyk | 私有 | ~2.78亿美元营收;增长~12% | 开发者优先的SCA | 最佳IDE/用户体验;多SCM支持 | 增长停滞,CEO离职,估值从85亿美元腰斩至约20亿美元;仅限源代码 |
| Checkmarx | 私有 | ARR超1.5亿美元 | Gartner领导者(应用安全) | 统一SAST+SCA;FedRAMP High认证 | 系统复杂/定价偏高;2026年3月遭遇一起供应链安全事件 |
| Black Duck | 私有(Clearlake/FP持股) | ~5亿美元(传统业务估算) | Gartner领导者 | 最深厚的SCA知识库;二进制/固件扫描 | 产品组合复杂;开发者友好度较低 |
JFrog的护城河坚实且持续加深,依托五大相互强化的支柱:
最接近的上市同业纯玩/竞争对手;其集成DevSecOps平台中的软件包注册表与Artifactory直接竞争。GitLab正在为2027年构建JFrog迁移工具,但目前仅支持约7种格式,仍处于追赶阶段。DevOps工具SaaS领域常用的估值参照。
拥有GitHub(Packages、Advanced Security)及Azure注册表——既是竞争对手,也是JFrog的集成合作伙伴("2025年度技术合作伙伴")。双重角色,竞争关系被合作关系部分软化。
三重角色:JFrog最大的云基础设施供应商、市场/GTM渠道(AWS战略合作协议),以及通过CodeArtifact/ECR形成竞争的对手。随着JFrog云端业务超过营收50%,这一矛盾持续激化。
Google Cloud既是基础设施供应商,也通过Artifact Registry形成竞争。与AWS/Azure一样,属于"合作-竞争"关系;单云局限性使其无法替代JFrog作为多云企业的"记录系统"。
AI合作伙伴;JFrog是NVIDIA Enterprise AI Factory及Agent Skills Registry中的安全模型/制品注册表。合作关系定位AI信任层,目前属于战略性早期布局,尚未产生可量化的营收贡献。
Splunk母公司,Splunk是JFrog长期的标杆客户,每日管理TB级数据吞吐量。Cisco收购Splunk后,这一关系延续并升级为企业级战略客户。
常被引用的高增长DevOps/可观测性SaaS估值参照。两者均面临高增长高估值的叙事张力;Datadog的盈利路径可作为JFrog潜在轨迹的参考框架。
随着JFrog DevSecOps业务占比提升,被用作估值/行业参照的安全平台同业。两者均受供应链安全监管顺风驱动(美国14028号行政令、欧盟《网络弹性法》)。
安全平台整合浪潮的代表;其平台化战略("platformization")与JFrog将安全内嵌于软件供应链的理念异曲同工。随着JFrog安全业务占比提升,估值框架参照价值增加。