美国

美国证券交易委员会

华盛顿特区，20549

__________________________________________________

表格10-K

__________________________________________________

(标记一)

截至本财政年度止十二月三十一日，2023

或

关于从到的过渡期

委托文件编号：001-39492

__________________________________________________

JFrog Ltd.

(注册人的确切姓名载于其章程)

__________________________________________________

270东加勒比海大道

桑尼维尔, 加利福尼亚 94089

(主要执行机构地址和邮政编码)

(408) 329-1540

(注册人的电话号码，包括区号)

__________________________________________________

根据该法第12(B)条登记的证券：

如果注册人是证券法规则405中定义的知名经验丰富的发行人，请用复选标记表示。是☒没有☐

用复选标记表示注册人是否不需要根据该法第13节或第15(D)节提交报告。是的☐不是☒

用复选标记表示注册人(1)是否在过去12个月内(或注册人被要求提交此类报告的较短时间内)提交了1934年《证券交易法》第13条或15(D)节要求提交的所有报告，以及(2)在过去90天内是否符合此类提交要求。是☒没有☐

用复选标记表示注册人是否在过去12个月内(或在注册人被要求提交此类文件的较短时间内)以电子方式提交了根据S-T规则第405条(本章232.405节)要求提交的每个交互数据文件。是☒没有☐

用复选标记表示注册人是大型加速申报公司、加速申报公司、非加速申报公司、较小的报告公司或新兴成长型公司。请参阅《交易法》第12b-2条规则中“大型加速申报公司”、“加速申报公司”、“较小申报公司”和“新兴成长型公司”的定义。

如果是一家新兴的成长型公司，用复选标记表示注册人是否已选择不使用延长的过渡期来遵守根据《交易所法》第13(A)节提供的任何新的或修订的财务会计准则。☐

用复选标记表示注册人是否提交了一份报告，证明其管理层根据《萨班斯-奥克斯利法案》(《美国联邦法典》第15编，第7262(B)节)第404(B)条对其财务报告的内部控制的有效性进行了评估，该评估是由编制或发布其审计报告的注册会计师事务所进行的。☒

如果证券是根据该法第12(B)条登记的，应用复选标记表示登记人的财务报表是否反映了对以前发布的财务报表的错误更正。☐

用复选标记表示这些错误更正中是否有任何重述需要对注册人的任何执行人员在相关恢复期间根据第240.10D-1(B)条收到的基于激励的补偿进行恢复分析。☐

用复选标记表示登记人是否为空壳公司(如该法第12b-2条所界定)。是☐没有☒

根据纳斯达克全球精选市场报告的普通股在2023年6月30日的收盘价，注册人的非关联公司持有的普通股的总市值约为Tly$2.1十亿。登记人的每一位高管和董事以及可能被视为登记人的关联公司的其他人持有的登记人普通股的股份已被排除在本次计算之外。对附属公司地位的确定不一定是出于任何其他目的的决定性确定。

截至2024年2月9日，注册人h广告106,306,273订购Ary股票，每股面值0.01新谢克尔，已发行。

以引用方式并入的文件

目录

特殊关于前瞻性陈述的说明

这份10-K表格年度报告包含符合1933年证券法(“证券法”)第27A节和1934年“证券交易法”(“交易法”)第21E节的含义的前瞻性陈述，这些陈述涉及重大风险和不确定性。前瞻性陈述一般与未来事件或我们未来的财务或经营业绩有关。在某些情况下，您可以识别前瞻性陈述，因为它们包含“可能”、“将会”、“应该”、“预期”、“计划”、“预期”、“可能”、“打算”、“目标”、“项目”、“考虑”、“相信”、“估计”、“预测”、“潜在”或“继续”等词，或这些词的否定或其他类似的术语或表达，涉及我们的期望、战略、计划或意图。本年度报告中有关Form 10-K的前瞻性陈述包括但不限于以下陈述：

你不应该依赖前瞻性陈述作为对未来事件的预测。本年度报告中包含的前瞻性陈述主要基于我们目前对未来事件和趋势的预期和预测，我们认为这些事件和趋势可能会影响我们的业务、财务状况、运营结果和前景。这些前瞻性陈述中描述的事件的结果受标题为“风险因素”和其他地方在本年度报告的形式10-K。我们敦促读者仔细阅读并考虑本10-K表格年度报告以及我们不时向美国证券交易委员会（“SEC”）提交的其他文件中披露的各种披露，这些文件披露了可能影响我们业务的风险和不确定性。此外，我们在一个竞争激烈和迅速变化的环境中运营。新的风险和不确定性不时出现，我们无法预测可能对本年度报告中包含的前瞻性陈述产生影响的所有风险和不确定性。我们无法向您保证，前瞻性陈述中反映的结果、事件和情况将实现或发生，实际结果、事件或情况可能与前瞻性陈述中描述的结果、事件或情况存在重大差异。

本年度报告中的10-K表格中的前瞻性陈述仅涉及截至陈述日期的事件。我们没有义务更新本年度报告中的任何前瞻性陈述，以反映本年度报告日期后的事件或情况，或反映新信息或意外事件的发生。我们可能无法实际实现前瞻性陈述中披露的计划、意图或期望，您不应过度依赖我们的前瞻性陈述。我们的前瞻性陈述并不反映我们可能进行的任何未来收购、合并、处置、合资或投资的潜在影响。

此外，“我们相信”和类似的陈述反映了我们对相关主题的信念和意见。这些声明是基于截至本年度报告的10-K表格上提供给我们的信息，虽然我们认为这些信息构成了这些声明的合理基础，但这些信息可能是有限的或不完整的，我们的声明不应被解读为表明我们已经对所有潜在可用的相关信息进行了详尽的调查或审查。这些陈述本身具有不确定性，投资者应谨慎不要过度依赖这些陈述。

第一部分

项目1.业务

概述

JFrog的愿景是为一个不断更新、安全、可信的软件世界提供动力-我们称之为Liquid Software。

我们提供端到端、混合、通用的软件供应链平台，使组织能够在任何系统上持续、安全地创建和交付软件更新。该平台是软件开发和软件部署之间的关键桥梁，为现代软件供应链管理和软件发布流程铺平了道路。我们使组织能够更快，更安全地构建和发布软件，同时使开发人员，安全团队和机器学习运营（MLOps）团队更加高效。

数字化转型已成为所有组织的当务之急，因此，各种类型和规模的组织越来越依赖软件来更好地与客户、合作伙伴和员工互动。因此，新软件的持续和可信发布已成为关键任务。一个组织如果不能保持软件的最新状态，或者不能及时对软件更新问题做出反应，无论是面向功能还是安全需求，都可能导致收入损失和声誉受损，甚至威胁到人类的安全和生命。我们相信，数字化转型的最终状态是不间断、始终在线、安全、持续地向用户交付价值，并由无版本软件的世界实现。

DevOps和DevSecOps支持推动数字化转型的软件创新。组织需要通过软件更好地为客户、合作伙伴和员工提供服务，这推动了对软件构建和发布工作流程不断创新的需求。随着软件开发的速度和种类的增加，软件“开发人员”和IT“运营商”的领域已经融合，迅速包括“安全”专业人员。自成立以来，我们一直接受现代软件开发的文化和方法，并提供了一个连接开发人员，安全团队和运营商的平台，从而为DevOps和DevSecOps提供了基础。这些范例已经成为现代数字化组织进行软件开发和运营的方法，缩短、自动化、保护和改进软件构建和发布工作流程。

由开发人员以源代码编写的软件不能部署在运行时环境中。为了使软件在生产中运行，源代码被转换或打包成可执行的二进制文件，这些文件可以被服务器或设备理解并在其上运行。组织需要能够将源代码和其他资源转换为二进制文件，存储、管理和保护这些二进制文件，然后创建软件包或一个或多个二进制文件的组合的工具，这些工具可以发布和部署到运行时环境。我们的平台旨在统一管理和部署组织内的所有类型的软件包，包括机器学习模型，使其成为组织安全软件发布流程的记录系统，通常称为“DevOps数据库”。

软件与商业环境

软件在商业环境中的数量和重要性呈指数级增长。所有行业和各种规模的组织都将软件作为一种竞争优势，促进与客户的互动，管理日常运营，获得可操作的业务见解，保护其数字环境，并推动数字转型。因此，软件的角色已经从功能工具转变为几乎每一家公司的基石，该软件的持续开发和发布已经转变为关键任务操作。

例如，如果司机和乘客运行的是叫车公司软件的同一版本，并且无法连接，即使是最短的时刻，这些乘客也可以很容易地转向具有竞争力的服务。如果金融机构软件堆栈的过时部分允许安全漏洞，该组织可能会遭受巨大的声誉损害，并承担损害赔偿责任。如果飞机的软件没有安全更新，乘客的生命可能会受到威胁。

为了满足客户日益增长的期望和法规遵从性，组织大幅缩短了从发布新特性和功能到解决安全漏洞之间的时间，从几年减少到几个月，甚至几天和几个小时。更新软件应用程序的功能，而不是发布整个应用程序的新版本，可以确保当前的软件更快地推向市场，使组织能够更快地响应客户的需求，使软件更新对用户体验的干扰更小。为了在当今的环境中保持软件的最新，软件更新需要以增量、安全和更高的频率发布。

开放源码软件的激增、诸如生成性人工智能(AI)技术等更新、更高效的软件开发技术的出现，以及软件的互联性日益增强，使组织能够以更快的速度生产软件。同时，采用新的架构、平台和技术，例如微服务、容器以及混合和多云环境，在管理软件供应链流程方面产生了巨大的复杂性。组织现有的软件发布和更新方法分别处理周期的每个步骤，在关键步骤(如计划、管理、构建、测试、保护和交付软件)周围造成孤岛和瓶颈。这些新技术与传统方法的融合给传统的软件构建和发布工作流带来了巨大的压力。

DevOps和DevSecOps工作流

DevOps支持推动数字化转型的软件创新。随着软件开发人员和IT运营商的领域融合，DevOps已成为一门集成软件开发和运营、缩短、自动化和改进软件构建和发布工作流的学科。DevOps是一种技术、方法和文化的组合，为持续、快速和安全的软件发布周期提供动力。

DevSecOps工作流程涵盖软件的整个生命周期，从开发人员对软件组件的规划、管理、编码、构建、保护和测试，到运营商对该软件的安全发布、部署、操作和监控。DevSecOps集成了整个DevOps工作流程中的安全实践，以便在软件的整个生命周期中及早发现问题和持续的软件安全。虽然目前许多软件开发技术都针对DevOps的特定细分市场，但JFrog为软件开发人员、安全团队和IT运营商提供了共同点，使其成为DevOps和DevSecOps工作流程的组成部分，以创建可信的软件版本。

软件包的重要性

由开发人员在源代码中编写的软件不能部署在运行时环境中。为了使软件在生产中运行，需要将源代码和其他组件转换或打包成服务器或设备可以理解并在其上运行的可执行二进制文件。组织需要工具将源代码和其他组件转换为二进制文件，存储、管理和保护这些二进制文件，然后创建可发布并部署到运行时环境的软件包或一个或多个二进制文件的组合。此外，绝大多数应用程序都是使用以二进制文件形式进入组织的开源软件构建的。JFrog平台旨在统一管理和部署组织内的所有类型的软件包，使其成为组织软件的记录系统。

在当今的商业环境中，需要组织管理和存储的软件包的数量和种类都在快速增长。这包括机器学习模型及其依赖关系的管理，由于大型语言模型(LLM)的商品化，机器学习模型及其依赖项得到了大量采用。随着软件构建和发布工作流程的自动化，越来越多的软件包由人和机器创建，也可以从外部来源(如开源库和存储库)导入。组织的软件开发生态系统中的包的数量和复杂性越来越大，需要一种新的、系统的和自动化的方法来可信地管理包。存储和管理源代码的代码库是有用且重要的开发人员工具，但无法有效地获取开发人员编写的软件并将其部署在运行时环境中，因为它们不是专门为管理、缓存和保护二进制文件而构建的。在软件包级跟踪和管理软件使组织能够对软件进行增量更新，并在发布软件的同时提供可信的软件物料清单(SBOM)。包管理允许软件连续发布，并能够处理当今所需的可信软件的数量、种类、安全性和速度。

我们的平台

我们建立了世界上第一个通用软件包库JFrog ArtiFactory，从根本上改变了软件供应链的管理方式。我们基于包的软件发布方法允许软件持续发布，并且软件始终是最新的。

我们使组织能够安全地将所有包类型存储在一个公共存储库中，在那里可以对它们进行标记、跟踪和管理。我们的统一平台连接了构建和发布软件所涉及的所有软件发布流程，并通过为所有软件发布输入和输出提供单一的真实来源来实现信任。我们使我们的客户能够缩短他们的软件发布周期，并使最新、安全、最新的软件能够从任何来源源源不断地流向任何边缘。我们的平台被设计为与我们的客户使用的编程语言、源代码存储库和开发技术以及他们部署到的生产环境的类型无关。

我们的完全集成的产品套件允许我们的客户从源代码存储库中编译软件、管理外部包的导入、管理软件包中组件之间的依赖关系、将这些包保存在单个通用存储库下、管理和自动化开源库和包的使用、在不同阶段和上下文中扫描漏洞、分发到终端并在生产中部署，所有这些都通过单个用户访问点完成。这个完整的过程通常被称为“软件供应链”的管理和安全。

自从我们最初推出JFrog ArtiFactory以来，我们一直在不断创新和添加新产品，以扩展我们平台的功能。今天，我们的平台包含发布可信、安全软件的完整工作流程。

产品

JFrog艺术家

我们平台的中心是JFrog ArtiFactory，它是第一个通用包库。它允许团队和组织以任何规模存储、更新和管理他们的软件包。JFrog ArtiFactory通过自动缓存包和包版本之间的依赖关系，包括来自外部来源的依赖关系，确保正在部署的所有软件包都是最新的。JFrog ArtiFactory支持所有主要的软件包技术，可以跨公共云、多云、内部部署、私有云和混合环境无缝部署。因此，JFrog ArtiFactory充当了整个组织的软件包的“唯一真理来源”，确保了软件发布过程中的一致性，并实现了信任和自动化。

JFrog ArtiFactory还扩展到包括MLOPS功能，具有管理机器学习模型及其依赖关系的关键功能，因为它们与软件应用程序一起发布和在软件应用程序中发布。这些模型和依赖项是软件应用程序中人工智能功能的基础组件。我们相信，这一扩展将把MLOps从业人员与DevSecOps最佳实践结合起来，在整个组织内创建一个通用的软件供应链。

以JFrog ArtiFactory为中心，我们的平台是一个具有凝聚力的、集成的端到端解决方案，包括以下涵盖整个软件发布周期的附加产品：

给我们的客户带来的好处

给软件开发人员、安全团队和IT操作员带来的好处

商业模式

我们在业务模式中结合了自下而上和自上而下的方法。自下而上的方法以社区为中心，推动我们产品的使用量增加，我们专注于展示我们的产品可以为软件开发人员，安全团队和IT运营商提供的价值。一旦客户达到一定规模，我们就采用自上而下的方法来实现全面的平台采用，重点关注企业价值。为了支持大型战略客户的增长，JFrog还授权了一个由专门的DevSecOps技术人员支持的直销团队。我们努力使软件开发人员、安全团队和IT运营商更高效、更有效和更有生产力，并在此过程中培养JFrog的拥护者。

多层次订阅产品

我们通过多层订阅结构向客户提供我们的产品。我们目前的付费订阅层级包括JFrog Pro、JFrog Pro X、JFrog Enterprise X和JFrog Enterprise Plus。

我们对软件开发人员、安全团队和IT运营商社区有着坚定不移的承诺，除了上述付费订阅外，我们还通过提供各种形式的免费访问我们的产品来展示这一承诺。这种免费访问采取免费试用和开源软件的形式，有助于在软件开发人员、安全和IT运营商社区内产生对我们的付费产品的需求。

增长战略

我们打算实施以下增长战略：

顾客

截至2023年12月31日，我们的全球客户群涵盖所有行业和规模的约7,400家组织，其中包括约83%的财富100强组织。

截至2023年12月31日，我们有886个客户的ARR达到或超过100,000美元，而截至2022年12月31日的客户为736个，分别占我们ARR的68%和62%。截至2023年12月31日，我们有37个ARR至少为100万美元的客户，而截至2022年12月31日的客户为19个。在截至2023年12月31日的一年中，我们最大的10个客户约占我们总收入的7%，没有一个客户占我们总收入的1%以上。在截至2023年12月31日的一年中，我们大约38%的收入来自美国以外的客户。本年度报告中对我们客户的所有引用都是指付费客户。

技术

我们的专有技术在我们优化的数据库体系结构的支持下，实现了一流的可靠性、可扩展性和性能。

我们的技术包括以下关键属性：

市场营销和销售

营销

JFrog的营销方法是一种双管齐下的努力，既要在自下而上的行动中为用户提供支持和授权，又要采取企业级或“自上而下”的方法，以便在战略公司级采用广泛的平台。我们以社区为中心的营销方法优先考虑提高软件开发人员、安全团队、AI/ML工程师、数据科学家和IT操作员的效率。我们使这些技术能够更快、更安全地发布软件，并在此过程中创造出我们产品的领军者，他们处于有利地位，向他们更广泛的组织展示JFrog的价值。在决定付费使用我们的产品之前，这些社区可以通过免费试用和开源软件轻松使用我们的产品。我们相信，这种方法为我们提供了竞争优势，因为技术社区在传播我们的品牌知名度、扩展用例和促进我们的平台在整个组织中的采用方面变得不可或缺。因此，我们为软件开发人员和IT运营商带来的价值有机地推动了需求，因为增加的意识、知识共享和采用导致我们的用户界面中更多地接触到其他功能和产品。

我们的企业级和现场营销职能为我们的战略销售团队提供支持，提供基于客户的方法来推动JFrog解决方案在我们最大的客户和潜在客户中的扩展。此外，我们还通过以用户为中心的活动与潜在终端用户打交道，包括JFrog swampUP、我们的年度全球DevOps和用户大会、实践培训活动、人物角色驱动的活动以及与技术合作伙伴和大型云平台的联合营销活动。

销售额

灵活的自助式、入站和战略性企业销售方法使客户可以轻松地以对他们最有利的方式尝试、采用和使用我们的产品，创造了一种高效的销售活动。我们的客户可以从JFrog ArtiFactory的开源版本开始，免费试用订阅选项，或者直接使用我们的付费订阅级别。我们的开源和免费试用选项为客户提供了低摩擦的入口点，他们经常升级到付费和更高级别的订阅，因为他们通过识别新的使用案例、需要额外功能或新团队或在新的地理位置采用我们的产品来增加对我们产品的使用。一旦用户决定使用我们的产品

除了开源或免费试用结束时提供的内容，他们还可以升级到我们的付费订阅之一，该订阅基于服务器数量或消耗量进行定价，以使我们提供的价值与客户在扩展时的需求保持一致。

我们的客户成功团队专注于通过帮助组织推进DevSecOps实践并促进采用更多产品和我们平台的更高级功能来实现我们平台的全部优势。我们打算继续扩大我们的战略销售团队，以确定新的用例，并在我们最大的客户中推动JFrog的扩张和标准化。

竞争

全球DevOps和DevSecOps市场正在迅速发展。我们根据一系列因素进行竞争，包括：

我们的产品可用于自我管理、软件即服务(SaaS)、多云和混合部署。虽然我们相信我们在上述因素上取得了成功，特别是在我们的解决方案的综合性方面，但我们确实在这些类别中的每一个类别与不同的供应商进行了竞争：

此外，我们可能会在上述类别中与初创企业和开源技术竞争。我们的许多竞争对手拥有更多的资金、技术和其他资源，更高的品牌认知度，更大的销售队伍和营销预算，更广泛的分销网络，多样化的产品和服务，以及更大和更成熟的知识产权组合。他们可能能够利用这些资源来获得业务，从而阻止客户购买我们的产品。此外，我们预计我们的行业将继续吸引新的投资，包括规模较小的新兴公司，这可能会推出新的产品。我们还可能扩展到新技术或地理市场，并在这些市场遇到更多的竞争对手。

研究与开发

我们的研发组织负责设计、开发、测试和交付新技术、功能Res，以及我们平台的集成，以及我们现有产品的持续改进和迭代。我们在研发方面最重要的投资是推动核心技术创新和将新产品推向市场。研发人员主要分布在我们的以色列和印度办事处。

我们的研发团队由架构师、软件工程师、安全专家、DevOps工程师、产品管理、质量TY保证和数据收集团队。我们打算继续投资于我们的研发能力，以扩展我们的平台和产品。

知识产权

我们的成功取决于在一定程度上取决于我们保护知识产权的能力。我们依靠版权和商业秘密法律、保密程序、雇佣协议、许可协议、发明转让协议、商标和专利的组合来建立和保护我们的知识产权，包括我们的专有技术、软件、诀窍和品牌。

截至2023年12月31日，我们拥有多项有效专利，并已在美国和其他国家提交了专利申请。我们不能向您保证我们的任何专利申请是否会导致专利的颁发，或者审查过程是否会要求我们缩小索赔范围。我们未来颁发的任何专利都可能受到争议、规避、被发现不可执行或无效，我们可能无法阻止第三方侵犯它们。此外，我们有国际业务，并打算继续扩大这些业务，有效的专利、版权、商标和商业秘密保护在国外可能无法获得或可能受到限制。

虽然我们依赖知识产权，包括商业秘密、专利、版权和商标，以及合同保护来建立和保护我们的专有权利，但我们相信，我们人员的技术和创造性技能、新模块的创建、特性和功能以及对我们平台的频繁增强等因素对于建立和保持我们的技术领先地位更为重要。

我们通过使用内部和外部控制控制对我们专有技术和其他机密信息的访问和使用，包括根据与员工、承包商、客户和合作伙伴的合同保护，我们的软件受美国和国际版权和商业秘密法律保护。我们要求我们的员工、顾问和其他第三方签订保密和专有权利协议，并控制对软件、文档和其他专有信息的访问。我们的政策是要求员工和独立承包商签署协议，将他们代表我们产生的任何发明、商业秘密、原创作品、开发和其他过程分配给我们，并同意保护我们的机密信息。此外，我们通常与客户和合作伙伴签订保密协议。有关与我们的知识产权相关的风险的更全面描述，请参阅“风险因素”一节。

政府规章

我们的业务活动受各种联邦、州、地方和国际法律、规则和法规的约束。例如，我们受到许多关于隐私、数据保护和数据安全以及个人信息和其他数据的收集、存储、共享、使用、处理、传输、披露和保护的法律、指令和法规的约束。在……里面

此外，在某些情况下，我们的软件受出口管制法律和法规的约束，包括美国商务部管理的《出口管理条例》，我们的活动可能受到某些贸易和经济制裁。任何不遵守或被认为不遵守目前适用于我们在以色列、美国和国际业务的法律和法规的行为，都可能对我们的业务和运营结果产生不利影响。与前一时期相比，遵守这些法律、规则和法规没有、也不会对我们的资本支出、运营结果和竞争地位产生实质性影响。有关适用于我们业务的政府监管的更多信息，请参阅本年度报告中表格10-K的第I部分第1A项“风险因素”。

员工与人力资本

我们的董事会及其委员会共同监督我们的人力资本管理战略。提名和公司治理委员会监督我们对人力资本以及包容性和多样性的方法，作为其对我们的环境、社会和治理战略和倡议的更广泛监督的一部分。我们每年进行人才评估和继任计划，董事会会收到高级管理层关于继任计划、管理人才评估和员工流失的最新情况。审计委员会与管理层一起审查我们关于人力资本和工作场所相关问题的道德和合规计划。薪酬委员会监督我们的整体薪酬理念、政策和计划，以及它们各自与我们的人力资本战略的一致性。

截至2023年12月31日，我们在全球总共拥有约1,400名员工，其中约750名员工位于以色列，约350名员工位于美国。除了我们在法国和西班牙的员工外，我们没有一个员工由工会代表，也没有一个员工受到集体谈判协议的保护。

我们的文化

我们的核心价值观反映在我们的法典中，这是由我们的员工创建的。我们通过正式和非正式的培训来强调这些价值观。每年，我们都会进行一次Codex员工敬业度调查，要求员工提供反馈，以便更好地了解我们的优势和劣势，并评估Codex与公司需求的一致性。根据我们年度员工调查的结果，我们相信食典将继续支持我们的增长和成功向前迈进：

招聘、培训和发展

我们的人力资本目标包括（如适用）识别、招聘、保留、激励和整合我们现有和新的员工和顾问。我们通过在我们的JFrog职业网站上发布广告以及利用我们的员工推荐计划来吸引新员工。为了实现我们的职业发展目标，我们实施了几项正式和非正式的跨公司培训计划，以培训新的管理人员和员工，使他们具备在JFrog成功开展职业生涯的技能。除了年度绩效评估和绩效薪酬外，我们还鼓励员工及其管理人员全年就进展保持公开对话。此外，我们专注于为每位员工提供个性化的职业发展道路和专业发展机会。

多样性、包容性和公平性（DEI）

我们认识到并认为平等是我们成功的关键。我们致力营造多元化及包容的文化，让所有雇员感到不论性别、种族、族裔、年龄、残疾、性取向、性别认同、文化背景或宗教信仰，均受到尊重及平等对待。我们在CODEX价值观中强调这一原则。“每个人都很重要“瞄准 为我们的员工提供多元化、公平和包容的工作环境。

我们继续支持以DEI为重点的招聘和对所有员工的强制性DEI培训。例如，我们的员工队伍在种族和性别上都是多元化的，包括最高管理层，我们的9名董事会成员中有3名女性，12名执行管理团队中有4名女性。

薪酬和福利

我们的薪酬政策旨在吸引、留住和奖励员工。除了有竞争力的基本工资和其他现金补偿外，我们还提供股权激励计划，通过激励个人尽最大努力实现我们的业务目标，推动公司的成功并增加股东价值，从而使员工的利益与股东的利益保持一致。

员工健康与安全

除传统的雇员福利外，我们已实施多项措施，以支持雇员的福祉、安全及健康。我们提供全面的健康保险，包括医疗，牙科，视力和处方药保险，以及许多其他福利，如健康和健身会员报销计划。此外，我们致力于通过办公室维护、员工培训和应急协议来确保工作场所的安全。

企业信息

我们于2008年4月28日根据以色列国的法律注册成立。我们已在公司注册处登记，公司编号为514130491。我们在美国的主要营业地点位于加利福尼亚州桑尼维尔加勒比海大道270E号，邮编：94089。我们这个地址的电话号码是(408)329-1540。我们的注册办事处位于以色列内坦亚哈马谢夫街3号，邮编4250465。我们在这个地址的电话号码是+972(9)-894-1444。我们在美国的送达代理是JFrog，Inc.

在本Form 10-K年度报告中出现的“JFrog”、我们的徽标以及我们的其他注册或普通法商标、服务标记或商号均为JFrog有限公司的财产。本Form 10-K年度报告中提及的其他商标和商号均为其各自所有者的财产。

可用信息

我们的网站地址是https://www.jfrog.com，，我们的投资者关系网站是https://investors.jfrog.com，，我们的博客是https://www.jfrog.com/blog，我们的推特账户是@jFrog。我们一直使用，并打算继续使用我们的网站、投资者关系网站、我们的博客和Twitter账户作为披露重大非公开信息的手段，并遵守FD法规下的披露义务。在我们向美国证券交易委员会提交文件后，可通过我们的投资者关系网站查阅以下文件：Form 10-K年度报告、Form 10-Q季度报告、Form 8-K当前报告以及我们年度股东大会的委托书。这些文件也可以在我们的投资者关系网站上免费下载。美国证券交易委员会还维护着一个互联网网站，其中包含有关发行人的报告、委托书和其他信息，这些发行人和我们一样，是通过电子方式在美国证券交易委员会备案的。该网站网址为https://www.sec.gov.

我们在我们的投资者关系网站上网络直播我们与投资界成员一起参加或主办的财报电话会议和某些活动。此外，作为我们投资者关系网站的一部分，我们提供有关我们财务业绩的新闻或公告的通知，包括美国证券交易委员会备案文件、投资者事件、新闻和收益新闻稿以及博客。进一步的公司治理信息，包括我们的公司治理准则、商业行为和道德准则以及委员会章程，也可以在我们的投资者关系网站上找到。所提供的网站上包含的或可以通过这些网站访问的信息不构成本年度报告(Form 10-K)或我们提交给美国证券交易委员会的任何其他报告或文件中的一部分，本年度报告中包含的网站地址仅是非主动的文字参考。

第1A项。风险因素

投资我们的普通股涉及很高的风险。以下是与我们的业务和我们普通股所有权相关的风险和不确定性的描述。在决定投资我们的普通股之前，您应仔细考虑以下所述的风险和不确定因素，以及本10-K年度报告中包含的所有其他信息，包括题为“管理层对财务状况和经营结果的讨论和分析”的部分，以及我们经审计的综合财务报表及其相关附注。下面描述的风险和不确定性并不是我们面临的唯一风险和不确定性。我们的业务、经营结果、财务状况或前景也可能受到风险和不确定性的损害，这些风险和不确定性目前我们不知道，或者我们目前认为不是实质性的。如果任何风险实际发生，我们的业务、经营结果、财务状况和前景都可能受到实质性的不利影响。在这种情况下，我们普通股的市场价格可能会下跌，你可能会损失你的全部或部分投资。

风险因素摘要

投资我们的普通股涉及很高的风险，因为我们的业务受到许多风险和不确定因素的影响，包括那些我们无法控制的风险和不确定因素，这些风险和不确定因素可能导致我们的实际业绩受到损害，包括但不限于以下风险：

与我们的商业和工业有关的风险

我们的业务和运营经历了快速增长，如果我们不适当地管理未来的增长(如果有的话)，或者无法改善我们的系统、流程和控制，我们的业务、财务状况、运营结果和前景将受到不利影响。

我们经历了快速增长和对我们产品的需求增加。截至2022年12月31日，我们的客户总数已从约7,200家增至约7,400家。我们的员工人数也从2022年12月31日的约1300人增加到2023年12月31日的约1400人。我们预计明年我们的员工人数将继续增加。我们业务的增长和扩张给我们的管理、运营和财务资源带来了持续的巨大压力。此外，随着客户在越来越多的用例中采用我们的产品，我们不得不支持更复杂的商业关系。我们必须继续改进和扩大我们的信息技术和金融基础设施、我们的安全和合规要求、我们的运营和管理系统、我们与各种合作伙伴和其他第三方的关系，以及我们以有效方式管理员工和流程的能力，以有效地管理我们的增长。

2023年，我们发布了ArtiFactory和平台功能，成为机器学习模型的记录系统，这些模型推动了软件供应链中的人工智能创新，增强了包括SAST在内的JFrog Advanced Security，并推出了新的安全产品JFrog Curation。这些增强和发布代表了对我们核心开发人员/运营(DevOps)业务的扩展，更深入地研究了软件安全(DevSecOps)和MLOp。我们可能无法成功地保持产品改进的速度，或无法高效或及时地或以不对我们的运营结果产生负面影响的方式实施系统、流程和控制。我们未能改进我们的系统、流程和控制，或它们未能按预期方式运行，可能会导致我们无法管理业务的增长，无法准确预测我们的收入、支出和收益，或无法防止亏损。

随着我们扩大业务并继续作为一家上市公司运营，我们可能会发现在管理员工增长的同时保持我们的企业文化是困难的。任何未能以保护我们的文化的方式管理我们预期的增长和相关的组织变革都可能对我们未来的增长和业务目标的实现产生负面影响。此外，如果我们不快速有效地整合和培训我们的新员工，我们的生产率和产品质量可能会受到不利影响。如果不能有效地管理未来的任何增长，可能会导致成本增加，对客户对我们产品的满意度产生负面影响，并损害我们的运营结果。

我们最近的增长可能并不预示着我们未来的增长，未来我们可能无法维持我们的收入增长率。我们的增长也使我们很难评估我们的未来前景，并可能增加我们不会成功的风险。

截至2023年、2022年和2021年12月31日止年度，我们的总收入分别为3.499亿美元、2.8亿美元和2.067亿美元，较截至2023年12月31日和2022年12月31日止年度分别增长25%和35%。您不应依赖之前任何季度或年度的收入增长作为我们未来业绩的指标。即使我们的收入继续增加，我们预计未来一段时间我们的收入增长率也会下降。例如，在新冠肺炎大流行期间，我们经历了增长放缓。许多因素可能导致我们的增长率下降，包括更大的市场渗透率、竞争加剧、对我们平台的需求放缓、我们未能继续利用增长机会、我们的业务成熟以及全球经济低迷等。如果我们的增长率下降，投资者对我们业务的看法和我们普通股的市场价格可能会受到不利影响。

此外，我们的快速增长可能会使我们难以评估未来的前景。我们预测未来运营结果的能力受到许多不确定因素的影响，包括我们有效规划未来增长并为其建模的能力。我们过去曾遇到，未来也可能遇到，在快速变化的行业中，成长型公司经常遇到的风险和不确定因素。如果我们不能在组织发展时达到必要的效率水平，或者如果我们不能准确预测未来的增长，我们的业务就会受到损害。此外，如果我们用来规划业务的假设是不正确的，或者随着市场的变化而发生变化，或者我们无法保持持续的收入或收入增长，我们的股价可能会波动，可能很难实现和保持盈利。

我们有亏损的历史，可能无法持续实现盈利。如果我们不能实现盈利，我们的业务、财务状况和运营结果可能会受到影响。

虽然我们实现了正的运营现金流和自由现金流，但自公司成立以来，我们在所有年份都出现了亏损。在截至2023年、2022年和2021年12月31日的年度内，我们分别净亏损6130万美元、9020万美元和6420万美元。因此，截至2023年12月31日，我们的累计赤字为2.904亿美元。我们预计，在可预见的未来，随着我们继续改进我们的产品、扩大我们的客户基础、扩大我们的销售和营销活动，包括建立一个客户成功团队，并继续投资于我们的战略销售团队，扩大我们的业务，招聘更多的员工，以及继续开发我们的技术，我们的运营费用将大幅增加。这些努力可能会被证明比我们目前预期的更昂贵，我们可能无法成功地增加足够的收入，或者根本无法抵消这些更高的支出。由于许多可能的原因，收入增长可能放缓或收入可能下降，包括对我们产品的需求放缓或竞争加剧。如果我们不能在业务增长的同时增加收入，我们就无法实现盈利，或根本无法保持正的运营现金流和自由现金流，也无法保持一致的自由现金流，这将导致我们的业务、财务状况和运营结果受到影响。

我们产品的市场是新的、未经验证的、不断发展的，可能发展得比我们预期的更慢或不同。我们未来的成功取决于这些市场的增长和扩张，以及我们适应和有效应对不断变化的市场的能力。

我们产品的市场相对较新，发展迅速，而且未经验证。因此，很难预测客户对我们的平台和产品的采用、续订和需求、竞争产品的进入、现有竞争产品的成功，或者DevOps、DevSecOps、MLOps和软件发布管理软件市场的未来增长率、扩展、寿命和规模。这些新的和不断发展的市场的扩张和渗透能力取决于许多因素，包括：与DevOps、DevSecOps和MLOps技术相关的成本、性能和感知价值，以及DevOps工作流改进软件生命周期中关键步骤的能力，包括管理软件安全性。如果我们或其他软件和SaaS提供商遇到安全事件、客户数据丢失或交付或服务中断，这些应用程序的市场作为一个整体，包括我们的平台和产品，可能会受到负面影响。如果DevOps、DevSecOps和软件发布管理软件没有继续获得市场认可，或者由于客户接受度下降、技术挑战、经济状况疲软、隐私、数据保护和数据安全问题、政府监管、竞争技术和产品或信息技术支出减少或其他原因导致需求减少，我们平台和产品的市场可能不会

继续发展或发展速度可能慢于我们的预期，这可能会对我们的业务、财务状况和运营结果产生不利影响。

我们的运营结果可能会在每个季度波动，这可能会对我们普通股的交易价格产生不利影响。

我们的运营结果，包括我们的收入、收入成本、毛利率、运营费用、现金流和递延收入，过去每个季度都在波动，未来可能会继续大幅变化，因此对我们的运营结果进行期间间的比较可能没有意义。因此，我们在任何一个季度的财务业绩都不应被视为未来业绩的指标。我们的季度财务结果可能会因各种因素而波动，其中许多因素是我们无法控制的，可能很难预测，可能会也可能不会完全反映我们业务的基本表现。可能导致我们季度财务业绩波动的因素包括：

一个或多个上述因素或其他因素的影响可能会导致我们的运营结果发生重大变化。这种波动可能导致我们达不到投资者或证券分析师的预期，这可能导致我们普通股的交易价格大幅下跌，我们可能面临代价高昂的诉讼，包括证券集体诉讼。

如果我们不能跟上技术和竞争发展的步伐，或者不能将我们的产品与其他公司开发的各种技术相结合，我们的产品可能会变得更不适销、更不具竞争力或过时，我们的经营结果可能会受到不利影响。

为了为我们的客户提供价值，我们必须提供这样的产品：允许我们的客户从源代码存储库编译软件，管理软件包中组件之间的依赖关系，将软件包和ML模型移动到通用存储库，从包括开源库在内的第三方摄取软件包，在不同阶段扫描漏洞，分发到终端，并在生产中部署，所有这些都通过单个用户访问点完成。任何新产品推出的成功取决于许多因素，包括但不限于及时和成功的产品开发、市场接受度、我们产品的质量和用户体验、我们管理与新产品发布相关的风险的能力、与新产品预期需求相关的开发和其他支出的有效管理以及新开发产品的可用性。我们过去经历过新产品和产品更新中的错误、错误或其他缺陷或缺陷，以及在发布新产品、部署选项和产品增强功能方面的延迟，未来可能会有类似的经历。因此，如果我们跟不上技术发展的步伐，我们的一些客户可能会推迟购买我们的产品，直到下一次升级发布，或者切换到竞争对手。例如，人工智能和机器学习可能会改变我们行业的运营方式，而那些采用这些新技术缓慢或未能采用这些新技术的企业可能面临竞争劣势。此外，如果直到客户购买我们的产品后才发现缺陷，我们的客户可能会对我们的产品质量失去信心，我们的声誉和品牌可能会受到损害。如果没有及时发现和修补重大错误、错误或其他缺陷或缺陷，未经授权的各方可能会获得此类产品的访问权限。任何与我们感知的产品质量相关的负面宣传都可能损害我们的业务、运营结果和财务状况。

为了跟上技术和竞争发展的步伐，我们过去已经投资，并可能继续投资，收购补充业务、技术、服务、产品和其他资产，以扩大我们可以为客户提供的产品。例如，在2021年，我们收购了私有安全公司Vdoo Connected Trust Ltd.(简称Vdoo)和基于云平台的开发商、开发者互联设备管理软件开发商Upwift Ltd.(简称Upwift)。我们可能会在不确定这些投资是否会导致现有或潜在客户接受或获得市场认可的产品或增强功能的情况下进行这些投资。如果我们不能成功地增强我们现有的产品以满足不断变化的客户需求，增加我们产品的采用率和使用案例，开发新的

如果我们的产品无法快速解决安全漏洞，或者我们增加产品使用案例的努力比我们预期的更昂贵，那么我们的业务、运营结果和财务状况都将受到不利影响。

我们的业务和成功在一定程度上取决于我们与第三方的战略关系，包括我们的第三方托管提供商和我们的合作伙伴生态系统，如果我们不能保持或扩大这些关系，我们的运营结果和声誉可能会受到损害。

我们目前依赖，并预计我们将继续依赖各种第三方关系来维持和发展我们的业务。例如，我们目前与第三方公共云合作伙伴合作，如亚马逊网络服务(Amazon Web Services)、微软Azure(包括Azure DevOps)和Alphabet公司的S谷歌云，它们通过自己的市场提供我们的服务。我们的技术合作生态系统增强了我们产品的极大可扩展性，为我们的客户提供了在我们的产品中使用他们选择的外部工具的能力，提供了在他们的首选环境中部署我们的产品的能力，并允许他们在新的封装技术发布时支持它们。因此，我们的SaaS产品必须与主要的云服务提供商兼容，以便在我们的客户和我们可能合作的第三方选择的地理位置支持我们的JFrog托管产品的本地托管。

我们还与某些渠道合作伙伴建立了关系，以分销我们的产品。我们相信，我们业务的持续增长有赖于确定、发展和维护与我们现有和潜在的渠道合作伙伴的战略关系，这些合作伙伴可以为我们的客户带来可观的收入并提供额外的增值服务。如果我们不能与我们的渠道合作伙伴发展和保持成功的关系，我们的业务、运营结果和财务状况可能会受到损害。此外，我们与渠道合作伙伴的协议是非排他性的，因此他们可能会向客户提供几家不同公司的产品，包括与我们竞争的产品。

目前还不确定这些第三方是否会成功地联合营销我们的解决方案，以提供大量和高质量的引荐和订单，或者他们是否会继续与我们长期合作。我们与任何第三方合作伙伴或第三方提供商关系的变化、任何第三方技术的不稳定或漏洞，或者我们的产品无法与第三方技术成功集成，都可能对我们的业务和运营结果产生不利影响。

虽然也是合作伙伴，但公共云提供商可能会与JFrog功能的子集竞争，我们也可能面临来自他们的竞争。例如，目前销售我们的产品和服务的第三方托管提供商可以构建和营销他们自己的竞争产品和服务，或者营销其他供应商的竞争产品和服务。

此外，确定和谈判新的和扩大的合作伙伴关系需要大量资源，我们不能保证目前与我们有关系的各方能够或将继续投入必要的资源来运营和扩大对我们平台的使用。如果我们不能成功地与第三方建立或维持我们的合作伙伴关系或任何其他战略关系，我们的竞争能力、我们的收入、运营结果和未来前景都可能受到损害。

即使我们成功地与第三方建立和维护了我们的关系，我们也不能确保我们的关系将导致我们平台的持续使用或增加使用。此外，如果我们的解决方案无法与任何第三方合作伙伴的业务应用程序一起有效运行，可能会减少对我们解决方案的需求，并对我们的业务和声誉造成损害。我们也可能被要求对与我们有业务往来的第三方的行为或不作为所产生的义务负责。此外，任何向新地区的扩张都可能需要我们将我们的产品与新的第三方技术相结合，并投资于与供应商发展新的关系。如果我们不能以经济高效的方式应对变化，我们的产品可能会变得更不适销、更不具竞争力或过时，我们的运营结果可能会受到负面影响。

JFrog ArtiFactory的有限功能版本是在开源许可下获得许可的，这可能会对我们将产品货币化和保护我们的知识产权的能力产生负面影响。

我们制作了一个功能有限的JFrog ArtiFactory版本，它只支持基于Java的包，也缺乏组织范围内DevOps团队采用所需的其他功能，这些功能可以在开放源码许可证Affero通用公共许可证版本3.0(“AGPL”)下获得。AGPL授予被许可人广泛的自由来查看、使用、复制、修改和重新分发这个受限版本的JFrog ArtiFactory的源代码。任何人都可以从互联网上下载这个有限版本的JFrog ArtiFactory的免费副本，而我们既不知道我们所有的AGPL被许可者是谁，也不知道被许可者是如何使用JFrog ArtiFactory的，所以我们检测违反开放源码许可的能力极其有限。

AGPL有一项“版权保留”的要求，即按照AGPL的规定，进一步分发经AGPL许可的软件以及对该软件的修改或改编。这导致一些商业企业认为AGPL许可的软件不适合商业使用。然而，AGPL不会阻止商业许可持有人免费使用AGPL下的JFrog ArtiFactory的这个开源版本并将其用于内部目的。AGPL也不会阻止商业被许可人在AGPL下使用JFrog ArtiFactory的这个开源版本，并通过免费提供它来在我们的市场上竞争。

由于AGPL允许的许可，这种竞争可以在不需要传统专有软件公司所需的管理费用和准备时间的情况下进行。竞争对手也可以基于我们的JFrog ArtiFactory开源版本开发他们自己的软件。尽管根据AGPL，该软件也需要免费提供，但它可能会减少对我们产品的需求，并给我们的订阅带来定价压力。我们不能保证我们能够成功地与当前和未来的竞争对手竞争，其中一些竞争对手可能拥有比我们更多的资源，也不能保证竞争压力或新开源软件的可用性不会导致降价、运营利润率下降和市场份额损失，其中任何一项都可能损害我们的业务、财务状况、运营结果和现金流。

我们产品的市场是新生的，高度分散，我们可能无法与当前和未来的竞争对手成功竞争，他们中的一些人拥有比我们更多的资金、技术和其他资源。如果我们不能成功竞争，我们的业务、财务状况和经营结果可能会受到损害。

我们的平台由DevOps和DevSecOps的多个产品组成，我们在每个产品类别以及整个平台级别上进行竞争。我们产品的市场高度分散，发展迅速，并受到技术快速变化的影响。我们认为，我们成功竞争的能力取决于我们控制之内和之外的许多因素，包括以下因素：

我们的产品可用于自我管理、SaaS和混合部署。虽然我们相信我们在上述因素上取得了成功，特别是在我们的解决方案的综合性方面，但我们确实在这些类别中的每一个类别与不同的供应商进行了竞争：

此外，我们还在上述类别中与本土、初创企业和开源技术展开竞争。我们的许多竞争对手拥有更多的资金、技术和其他资源，更高的品牌认知度，更大的销售队伍和营销预算，更广泛的分销网络，更多样化的产品和服务，以及更大和更成熟的知识产权组合。他们可能能够利用这些资源来获得业务，从而阻止客户购买我们的产品。此外，我们预计我们的行业将继续吸引新公司，包括规模较小的新兴公司，这些公司可能会推出新产品。我们还可能扩展到新的市场，并在这些市场遇到更多的竞争对手。

JFrog ArtiFactory是我们平台的中心，任何由于故障、性能低下、竞争加剧或其他原因导致的对JFrog ArtiFactory的需求下降，都会影响我们的业务、运营结果和财务状况。

我们的订阅结构与我们构建平台的方式保持一致，JFrog ArtiFactory是我们平台和所有订阅的中心。因此，市场对JFrog ArtiFactory的接受程度对我们的成功至关重要。如果对JFrog ArtiFactory的需求下降，我们其他产品的需求也会下降。对JFrog ArtiFactory的需求受到许多因素的影响，其中许多因素是我们无法控制的，例如客户对现有和新用例的JFrog ArtiFactory和产品的市场接受度、我们的竞争对手推出的新特性、功能和低成本替代产品的开发和发布时间、我们服务的市场的技术变化和发展，以及我们潜在市场的增长或收缩。如果我们无法继续满足客户需求，如果我们的产品无法与竞争对手的产品竞争，如果我们无法获得更广泛的市场对JFrog ArtiFactory的接受，或者如果我们的产品无法满足法律、法规、合同或其他适用要求，则我们的业务、运营结果和财务状况将受到损害。

如果我们无法增加对新客户的订阅销售额，无法向现有客户销售额外的订阅，或无法扩大现有客户订阅的价值，我们未来的收入和运营结果将受到损害。

我们未来的成功取决于我们向新客户销售订阅的能力，以及通过向现有用户销售付费订阅并在组织内扩大现有客户订阅的价值和数量来在现有客户中进行扩张的能力。我们销售新订阅的能力取决于许多因素，包括我们产品的价格、我们产品的功能、我们竞争对手提供的产品的价格以及我们客户的预算。我们通过根据产品深度和功能而不同的多层订阅来满足客户需求。我们还提供我们平台的有限免费试用。如果我们免费试用的用户不会成为或导致其他用户不会成为付费客户，我们将无法实现这些策略的预期好处，我们的费用可能会因相关的托管成本而增加，我们发展业务的能力可能会受到损害。

我们还提供了JFrog ArtiFactory的开源版本。我们的开源版本旨在提高我们的平台在开发人员社区中的知名度和熟悉度。我们通过多种渠道投资开发人员和开发人员社区，包括引入新的开源项目，以及通过我们的年度开发人员大会、swampUP和其他以社区为中心的活动。不能保证这样的活动会带来新的客户，也不能保证开源用户会转变为付费订户。

此外，我们销售和营销重点的一个重要方面是在现有客户中扩大部署。我们的客户购买额外订阅和扩大现有订阅价值的速度取决于许多因素，包括客户对我们产品的满意度、部署的性质和规模、解决其他使用案例的愿望、对额外功能的感知需求以及总体经济状况。我们过去经历过，并预计未来经济衰退的担忧和其他不利的经济状况将对我们在现有客户中扩大部署的能力产生负面影响。如果我们的客户不认识到我们产品的潜力，我们的业务将受到实质性的不利影响。

季节性可能会导致我们的销售额和经营结果出现波动。

从历史上看，我们经历了客户预订的季节性，因为我们通常在今年第四季度与新客户签订订阅协议的比例较高，与现有客户续订的比例较高。我们认为，这是由于我们的许多客户，特别是我们的企业客户的采购、预算和部署周期造成的。我们预计，这种季节性将继续影响我们未来的预订量、递延收入和运营结果，并可能随着我们继续瞄准更大的企业客户而变得更加明显。

此外，我们的SaaS订阅用户的使用模式历来呈现季节性。我们通常会在假日期间体验到客户使用量的减少，特别是在第四季度末。由于我们的SaaS订阅收入是根据使用情况确认的，因此使用模式的变化可能会对我们的SaaS订阅收入和我们的运营结果产生负面影响。

如果我们的现有客户不续订他们的订阅，可能会对我们的业务和运营结果产生不利影响。

我们预计很大一部分收入将来自现有订阅的续订。我们的客户没有合同义务在订阅期限结束后续订他们的订阅。我们的自我管理订阅按年和多年提供，SaaS订阅按年提供，但某些SaaS订阅除外，也按月提供。对于我们的JFrog管理的产品，我们还提供承诺使用量的订阅。我们的客户续订可能会由于许多因素而下降或波动，包括他们对我们的产品和客户支持的满意度、产品中断的频率和严重程度、我们的产品正常运行时间或延迟、我们或竞争对手产品的定价、我们提供的其他新特性和功能、新的集成以及由于技术合作伙伴的更新而更新我们的产品。如果我们的客户续订他们的订阅，他们可能会续订更短的订阅期限或其他对我们不太经济有利的条款。此外，我们的自我管理产品具有永久许可证或订阅许可证，我们依赖于对此类产品部署材料更新来推动续订。如果我们不提供这些产品的材料更新，客户可能不会续订其现有订阅，而是可以根据原始许可证继续使用我们的产品。我们可能无法准确预测未来的更新趋势。如果我们的客户不续订他们的订阅，或者以不太优惠的条款续订，我们的收入增长可能会慢于预期，或者会下降。

我们确认在相关认购期内有很大一部分来自订阅的收入，因此，销售额的下降或回升不会立即完全反映在我们的运营业绩中。

我们在相关认购期内确认认购收入的很大一部分。因此，我们每个会计季度报告的订阅收入中有很大一部分是对前几个会计季度签订的订阅合同的递延收入的确认。因此，任何一个财季的新订户或续订订阅量的下降都不会完全或立即反映在该财季的收入中，并将对我们未来财季的收入产生负面影响。因此，我们订阅的新销售或续订销售大幅下滑的影响要到未来几个时期才能完全反映在我们的运营业绩中。

软件中真实或可感知的缺陷、安全漏洞、错误或性能故障可能会导致我们损失收入、损害我们的声誉，并使我们承担责任。

我们的产品本质上是复杂的，尽管进行了广泛的测试和质量控制，但在过去和未来可能存在缺陷或错误，特别是在第一次推出时，或者表现不像预期的那样。这些缺陷、安全漏洞、错误或性能故障可能会损害我们的声誉、失去客户或收入、订单取消、服务终止或市场不接受我们的软件。随着客户对我们的产品(包括最近收购或开发的产品)的使用扩展到更敏感、更安全或任务关键的用途，我们可能会受到更严格的审查、潜在的声誉风险或潜在的责任，如果我们的软件无法在此类部署中发挥预期的作用。我们过去和将来可能需要发布我们软件的更正版本来修复这些缺陷，

错误或性能故障，这可能需要我们分配大量的研发和客户支持资源来解决这些问题。

由于现有或未来的适用法律或不利的司法裁决，我们的客户、用户、第三方供应商、服务提供商和合作伙伴协议中可能包含的任何责任限制条款可能无法强制执行、充分或有效，并且它们可能无法限制我们因法规执行而产生的责任。销售和支持我们的产品会带来责任索赔的风险，鉴于我们的产品在整个企业环境中的使用情况，索赔的风险可能会很大。此外，我们针对这一责任的保险可能不足以涵盖潜在的索赔，可能会被排除在外，或者保险公司将拒绝承保任何未来的索赔，或在保单续期中将此类索赔排除在我们的承保范围之外。我们的保险人拒绝我们的索赔，或其他人成功地向我们提出超出可用保险范围的索赔，或者我们的保险单发生变化，包括保费增加或实施大量免赔额或共同保险要求，可能会对我们的业务产生实质性的不利影响，包括我们的财务状况、经营业绩和声誉。

不正确地实施或使用我们的软件，或我们的客户未能更新我们的软件，可能会导致客户的不满，并对我们的业务、运营、财务业绩和增长前景产生负面影响。

我们的产品经常在大规模、复杂的IT环境中运行。我们的客户和一些合作伙伴需要在正确使用我们的产品和从我们的产品中获得好处方面的培训和经验，以最大限度地发挥他们的潜力。如果我们产品的用户没有正确或按预期实施、使用或更新我们的产品，则可能会导致性能不足和/或安全漏洞。由于我们的客户依赖我们的软件来管理广泛的运营，不正确地实施、使用我们的软件，或我们的客户未能更新，我们的软件或我们未能培训客户如何有效地使用我们的软件，在过去和未来可能会导致客户的不满，以及负面宣传，并可能对我们的声誉和品牌造成不利影响。我们未能有效地为客户提供培训和实施服务，可能会导致失去向这些客户进行后续销售的机会，并减少新客户的订阅，这将对我们的业务和增长前景产生不利影响。

与我们的技术和基础设施相关的中断或性能问题，以及我们对第三方技术的依赖，可能会对我们的业务运营和财务业绩产生不利影响。

我们将与我们的云产品相关的几乎所有基础设施外包给客户选择的第三方云提供商。我们SaaS产品的客户需要能够在不中断或降低性能的情况下随时访问我们的平台，我们为他们提供有关正常运行时间的服务级别承诺。第三方云提供商运行我们访问的自己的平台，因此，我们很容易受到他们的服务中断和产品提供的任何变化的影响。对我们第三方托管服务容量的任何限制都可能阻碍我们接纳新客户或扩大现有客户的使用能力，这可能会对我们的业务、财务状况和运营结果产生不利影响。此外，任何可能由网络攻击、自然灾害、火灾、洪水、严重风暴、地震、停电、电信故障、恐怖或其他攻击、抗议或骚乱以及其他我们无法控制的类似事件导致的影响我们第三方托管服务基础设施的事件都可能对我们的云和多云混合产品产生负面影响。这些风险可能会随着以色列和哈马斯之间的战争、俄罗斯和乌克兰之间的战争以及相关的地缘政治紧张局势和地区不稳定而加剧。我们的客户和监管机构也可能寻求追究我们对影响第三方云提供商基础设施的任何安全漏洞的责任，我们可能会在调查此类事件以及回应这些客户、监管机构和其他第三方提出或发起的任何索赔、调查或诉讼时承担重大责任。我们可能无法从我们的任何第三方云提供商那里收回此类债务的很大一部分。维护和改进我们的性能也可能变得越来越困难，特别是在使用高峰期，因为我们的软件变得更加复杂，我们的软件的使用量也增加了。此外，我们的保险可能不足以涵盖此类责任，并可能被排除在外。上述任何情况或事件都可能损害我们的业务、经营结果和财务状况。

此外，我们的网站和内部技术基础设施可能会由于各种因素而出现性能问题，包括基础设施更改、人为或软件错误、网站或第三方托管中断、容量限制、技术故障、自然灾害或欺诈或安全攻击。我们使用和分发开源软件可能会增加这种风险。如果我们的网站不可用，或者我们的用户无法在合理的时间内下载我们的产品或订购订阅或服务，或者根本无法下载，我们的业务可能会受到损害。我们预计将继续进行大量投资，以维持和改善网站性能，并为我们的产品快速发布新功能和应用程序。如果我们不根据需要有效地升级我们的系统并不断开发我们的技术以适应技术的实际和预期变化，我们的业务和运营结果可能会受到损害。

如果我们与第三方托管服务的服务协议终止，或出现服务中断、我们使用的服务或功能取消、互联网服务提供商连接中断或此类设施损坏的情况，我们可能会遇到访问我们平台的中断，以及在安排或创建新设施和服务和/或重新架构我们的云解决方案以在不同的云基础设施服务提供商上部署时的重大延迟和额外费用，这可能会对我们的业务、财务状况和运营结果产生不利影响。

我们还依赖第三方的云技术来运营我们业务的关键功能，包括财务管理服务、关系管理服务和潜在客户生成管理服务。如果这些服务因长时间停机或中断或不再以商业合理的条款或价格提供，我们的费用可能会增加，我们管理财务的能力可能会中断，我们管理产品销售和支持客户的流程可能会受到损害，我们产生和管理销售线索的能力可能会减弱，直到确定、获得和实施同等的服务(如果有)，任何可能损害我们的业务和运营结果的服务。

我们通常根据订阅协议提供服务级别承诺。如果我们未能履行这些合同承诺，我们可能有义务为未来的服务提供积分，或者面临预付金额退款的订阅终止，这将降低我们的收入，并损害我们的业务、财务状况和运营结果。

我们的订阅协议通常包含服务级别承诺。如果我们无法履行声明的服务级别承诺，包括未能满足我们的客户订阅协议中的正常运行时间和响应时间要求，我们可能有合同义务向这些客户提供服务积分，这可能会在故障发生和应用积分期间对我们的收入产生重大影响。我们还可能面临订阅终止和续订减少的问题，这可能会对我们当前和未来的收入产生重大影响。我们为我们的产品提供多层订阅，因此，如果更多客户选择订阅JFrog Pro X、JFrog Enterprise X和JFrog Enterprise Plus，我们的服务级别承诺将会增加。任何服务级别的故障也可能损害我们的声誉，这也可能对我们的业务、财务状况和运营结果产生不利影响。

我们依赖我们的高管和其他关键员工，失去一名或多名员工或无法吸引和留住高技能员工可能会损害我们的业务。

我们未来的成功在一定程度上取决于我们能否继续吸引和留住高技能人才。失去任何关键人员的服务，无法吸引或留住合格人员，或延迟招聘所需人员，特别是在工程和销售方面，都可能严重损害我们的业务、财务状况和运营结果。虽然我们已经与我们的关键人员签订了雇佣协议，但在美国的雇佣没有特定的期限，构成了随意雇佣。由于我们产品的复杂性，我们还在很大程度上依赖于现有工程人员的持续服务。

我们未来的业绩还取决于我们高级管理层的持续服务和持续贡献，以执行我们的业务计划，发现和追求新的机会和产品创新。失去高级管理层的服务可能会显著延迟或阻碍我们发展和战略目标的实现，这可能会对我们的业务、财务状况和运营结果产生不利影响。

此外，我们所在的行业普遍存在着对技能人才的激烈竞争以及高员工流失率。目前对有经验的DevSecOps专业人员的需求很高，我们可能无法成功地吸引、整合或留住合格的人员来满足我们当前或未来的需求。此外，如果我们从竞争对手那里雇佣人员，我们可能会受到指控，称他们被不正当地索要，他们泄露了专有或其他机密信息，或者他们的前雇主拥有他们的发明或其他工作产品。

为了执行我们的增长计划，我们必须吸引和留住高素质的人才。对这些员工的竞争非常激烈，特别是对研发工程师、安全专家和在DevSecOps方面经验丰富的支持职位的竞争，这种竞争往往会导致工资上涨，特别是在我们大部分研发职位所在的以色列，以及我们有重要业务的旧金山湾区。因此，我们在吸引和留住人才方面可能不会成功。我们过去不时遇到招聘和留住具有适当资历的高技能员工的困难，我们预计还会继续遇到这种困难。我们最近的招聘和计划中的招聘可能不会像我们预期的那样富有成效，我们可能无法招聘、整合或保留足够数量的合格人员。许多与我们竞争的公司拥有比我们更多的资源，由于我们的形象和市场地位，这些竞争对手积极寻求从我们手中招聘技术人员，即使这些员工已经签订了竞业禁止协议。以色列劳工法院要求雇主寻求强制执行前雇员的竞业禁止承诺，以证明前者的竞争性活动

雇员将损害雇主已被法院承认的有限数量的物质利益中的一项，如保护公司的商业秘密或其他知识产权。我们可能做不到这样的示范。

此外，在做出就业决定时，特别是在互联网和高科技行业，求职者往往会考虑他们将获得的与其就业相关的公平价值。如果员工拥有的股票或其股权激励奖励的股票价值大幅升值或大幅缩水，员工可能更有可能离开我们。我们的许多员工可能会从公开市场上出售我们的股权中获得可观的收益，这可能会降低他们继续为我们工作的动力，并可能导致员工流失。如果我们不能吸引新的员工，或者不能留住和激励现有的员工，我们的业务和增长前景可能会受到损害。

如果我们不能保持和提升我们的品牌，特别是在开发人员、安全团队和IT运营商中，我们的业务和运营结果可能会受到不利影响。

我们相信，发展和保持对我们品牌的广泛认知，特别是在开发人员、安全团队和IT运营商中，对于实现我们的软件被广泛接受和吸引新用户和客户至关重要。品牌推广活动可能不会提高用户或客户的知名度或增加收入，即使它们增加了收入，也可能无法抵消我们在建立品牌时产生的费用。如果我们不能成功地推广和维护我们的品牌，我们可能无法吸引或留住必要的用户和客户，以实现我们的品牌建设努力的足够回报，或实现广泛的品牌知名度，这对广泛采用我们的产品至关重要。

我们的企业文化为我们的成功做出了贡献，如果我们不能在成长过程中保持这种文化，我们可能会失去我们努力培育的创新、创造力和创业精神，这可能会损害我们的业务。

我们相信，我们的文化一直是并将继续是我们成功的关键因素。随着我们的扩张，我们希望继续招聘。如果我们在成长过程中不继续保持我们的企业文化，我们可能无法培养我们认为支持我们成长所需的创新、创造力和企业家精神。我们预期的员工人数增长和我们作为上市公司的持续运营可能会导致我们的企业文化发生变化，这可能会损害我们的业务。

我们实现客户续约和增加产品销售的能力在很大程度上取决于我们客户支持的质量，如果我们不能提供高质量的支持，将对我们的业务、声誉和经营业绩产生不利影响。

我们的客户依靠我们的客户支持服务来解决问题并实现与我们产品相关的全部利益。如果我们不能成功地帮助客户快速解决部署后的问题或提供有效的持续支持和产品教育，我们向现有客户销售额外订阅或续订订阅或扩大现有客户订阅价值的能力将受到不利影响，我们在潜在客户中的声誉可能会受到损害。许多大型企业客户拥有更复杂的IT环境，需要比小型客户更高级别的支持。如果我们不能满足这些企业客户的要求，那么与他们一起增长销售可能会更加困难。

此外，可能需要几个月的时间来招聘，雇用和培训合格的工程级别的客户支持员工。我们可能无法足够快地雇用这些资源以满足需求，特别是如果我们的产品销售超过我们的内部预测。如果我们未能成功招聘、培训和保留足够的支持资源，我们向客户提供充分和及时支持的能力以及客户对我们产品的满意度将受到不利影响。我们未能提供和维持高质量的支持服务将对我们的业务、声誉和经营业绩产生不利影响。

我们目前主要依赖于入站销售模式，该模式可能不会继续像我们预期的那样成功，并且缺乏大型，直接，传统的销售功能可能会阻碍我们业务的增长。

我们目前主要依赖于一个集客销售模式，可能不会继续像我们预期的那样成功，缺乏一个大的，直接的，传统的销售功能可能会阻碍我们未来的增长。我们打算继续扩大我们的战略销售团队，以确定新的用例，并在我们最大的客户中推动JFrog的扩展和标准化。但是，不能保证这个战略销售团队会成功。此外，我们无法预测策略销售团队的部署是否会对我们的入境销售模式产生不利影响。如果我们向新客户销售订阅和扩大现有客户部署的努力不成功，我们的总收入和收入增长率可能会下降，我们的业务将受到影响。

此外，随着我们继续扩大业务规模，更传统的销售基础设施可以帮助我们接触更大的企业客户并增加收入。识别、招聘和培训这样一支合格的销售队伍将需要大量的时间、费用和关注，并将对我们的业务模式产生重大影响。我们认为，对于具备我们所需技能和技术知识的销售人员，包括销售代表、销售经理和销售工程师，存在着巨大的竞争。我们实现收入增长的能力将在很大程度上取决于我们能否成功地招聘、培训和留住足够数量的销售人员，以支持我们的增长。新员工需要大量的培训，可能需要很长时间才能达到完全的生产力。

此外，扩大我们的销售基础设施将大大改变我们的成本结构和经营业绩，我们可能不得不减少其他费用，如我们的研发费用，以适应市场营销和销售费用的相应增加，并保持积极的经营现金流和自由现金流。此外，近期聘用和计划聘用的员工可能无法像我们预期的那样迅速提高生产力，我们可能无法在我们开展业务或计划开展业务的市场中聘用或留住足够数量的合格人员。此外，特别是如果我们继续快速增长，我们的销售人员中的很大一部分将与我们、我们的订阅和我们的商业模式合作的经验相对较少。如果我们缺乏一支庞大的直接企业销售队伍，限制了我们接触更大的企业客户和增加收入，并且我们无法在未来雇用、培养和留住有才华的销售人员，我们的收入增长和经营业绩可能会受到损害。

我们产品的销售价格可能会波动或下跌，这可能会减少我们的收入和毛利，并对我们的财务业绩产生不利影响。

我们产品的销售价格可能会因各种原因而波动或下降，包括竞争的定价压力、折扣、对新产品推出的预期或促销计划。在我们参与的细分市场中，竞争继续加剧，我们预计未来竞争将进一步加剧，从而导致定价压力增加。拥有更多样化产品的较大竞争对手可能会降低与我们竞争的产品的价格，或者可能将它们与其他产品捆绑在一起并免费提供。此外，某些国家和地区的货币波动可能会对这些国家和地区的客户和合作伙伴愿意支付的实际价格产生负面影响。我们产品的任何销售价格的下降，如果没有相应的成本下降或产量增加，都会对我们的收入和毛利润产生不利影响。我们的订阅组合从自我管理转向毛利率较低的SaaS服务，也会对收入和毛利产生不利影响。我们不能向您保证，我们将能够将我们的价格和毛利润保持在使我们能够实现并保持盈利的水平。

此外，我们在过去和未来都需要不时地改变我们的定价模式。虽然我们已经并将尝试根据我们以前的经验和客户反馈来设定价格，但我们的评估可能不准确，我们可能低估或高估了我们的产品。此外，如果我们的订阅发生变化，我们可能需要修改我们的定价策略。我们定价策略或我们有效定价产品的能力的任何此类变化都可能对我们的业务、运营结果和财务状况产生不利影响。定价压力和决策可能会导致销售额下降、利润率下降、亏损或我们的产品无法获得或保持更广泛的市场接受度，任何这些都可能对我们的整体业务、运营结果和财务状况产生负面影响。

我们预计我们的收入组合会随着时间的推移而变化，这可能会损害我们的毛利率和运营业绩。

我们预计我们的收入组合会因一系列因素而变化，包括我们对自我管理和SaaS产品的订阅组合，这可能会影响确认收入的时间和金额以及相关成本。此外，我们的毛利率和经营业绩可能会受到许多其他因素的影响，包括进入新市场或低利润率市场的增长；进入定价和成本结构不同的市场；定价折扣；以及价格竞争加剧。这些因素中的任何一个或这些因素中的某些因素的累积影响可能会导致我们的毛利率和运营结果出现重大波动。这种变化性和不可预测性可能导致我们无法满足内部预期或证券分析师或投资者对特定时期的预期。如果我们由于这些或任何其他原因未能达到或超过这样的预期，我们普通股的市场价格可能会下跌。

我们销售周期的长度是不可预测的，特别是对大客户的销售，我们的销售工作可能需要相当长的时间和费用。

我们的运营结果可能会波动，部分原因是我们订阅的销售周期的长度和变化无常，以及对我们的运营费用进行短期调整的困难。我们的运营结果在一定程度上取决于对新的大客户的销售和对现有客户的销售增加。根据交易的复杂程度以及销售是否由我们直接完成，我们的销售周期长度(从潜在客户的初始联系到按照合同承诺我们的付费订阅)可能会因客户而异。很难准确地预测我们什么时候，甚至是否会

将向潜在客户进行销售，或者如果我们能够增加对现有客户的销售。因此，在某些情况下，大量的个人销售发生在我们预期的季度之后，或者根本没有发生。由于我们很大一部分支出在短期内是相对固定的，如果特定季度的收入低于我们的预期，可能导致我们普通股价格下跌，我们的运营结果将受到影响。

我们相对有限的经营历史使我们很难评估我们目前的业务和前景，并可能增加与您的投资相关的风险。

我们成立于2008年。我们相对有限的经营历史使我们很难评估我们目前的业务和未来的前景，包括我们规划和模拟未来增长的能力。在不断发展的行业中，我们已经并将继续遇到快速增长的公司经常遇到的风险和困难。如果我们不成功应对这些风险，我们的业务和经营业绩将受到不利影响，我们普通股的市场价格可能会下降。

此外，我们的历史财务数据有限，而且我们在一个快速发展的市场中运营。因此，对我们未来收入和支出的任何预测可能都不会像我们有更长的运营历史或在更可预测的市场中运营时那样准确。

我们依靠传统的网络搜索引擎将流量引导至我们的网站。如果我们的网站未能在无偿搜索结果中排名突出，我们网站的流量可能会下降，我们的业务将受到不利影响。

我们的成功在一定程度上取决于我们通过谷歌等传统网络搜索引擎的无偿互联网搜索结果来吸引用户的能力。我们从搜索引擎吸引到我们网站的用户数量在很大程度上是因为我们的网站在无偿搜索结果中的排名和排名。这些排名可能会受到许多因素的影响，其中许多因素不在我们的直接控制之下，它们可能会经常变化。例如，搜索引擎可能会改变其排名算法、方法或设计布局。因此，我们网站的链接可能不够突出，不足以为我们的网站带来流量，我们可能不知道如何或以其他方式影响结果。任何指向我们网站的用户数量的减少都可能减少我们的收入或要求我们增加客户获取支出。

不利的经济状况可能会对我们的业务和财务状况产生不利影响，这是由于对消费者和企业支出的影响，包括信息技术支出的减少和对我们产品的需求减少，这可能会限制我们增长业务的能力。

我们的运营和财务业绩在一定程度上取决于全球经济状况，以及这些状况对信息技术支出水平以及我们现有和潜在客户购买我们产品的意愿的影响。不利的宏观经济状况，包括通胀、增长放缓或衰退、银行倒闭或金融服务部门的不稳定、财政和货币政策的变化、收紧信贷、更高的利率和汇率波动，可能会对消费者和企业的信心和支出产生不利影响，并对我们产品的需求产生负面影响。

例如，我们目前正处于经济不确定时期，美国经历了高通胀和利率上升，这导致了劳动力、资本、员工薪酬和其他类似影响的成本增加。如果国内和全球经济的不利条件持续或恶化，我们现有和潜在客户的运营成本可能会增加，这可能会导致运营和信息技术预算减少。在我们的产品被客户和潜在客户视为可自由支配的程度上，我们的收入可能会受到一般信息技术支出延迟或减少的不成比例的影响。这种技术支出的延迟或减少往往与我们客户加强预算审查有关，包括额外的审批级别、云优化工作以及评估和测试我们的产品的更多时间，这可能会导致漫长且不可预测的销售周期。我们最近经历了某些产品更长的销售周期和客户加强的预算审查，鉴于当前的宏观经济环境，我们预计将继续经历这些挑战。此外，客户可能选择开发内部软件作为使用我们产品的替代方案，而竞争对手可能会通过降低价格来应对一般经济中的这种负面情况，这任何一种情况都可能对我们的产品需求产生不利影响，并限制我们增长业务的能力。

美国和全球经济目前的状况和状况，使得人们很难预测衰退是否已经发生，何时发生，以及衰退的程度如何。我们无法预测任何经济放缓、不稳定或复苏的时间、强度或持续时间，无论是一般情况下还是在任何特定行业内。如果我们经营的一般经济或市场的经济状况没有改善，或在目前水平上恶化，我们的业务、经营结果和财务状况可能会受到不利影响。

我们已经收购，并可能在未来收购补充业务，这些业务可能需要管理层的大量关注，扰乱我们的业务，稀释股东价值，并对我们的运营业绩产生不利影响。

作为我们业务战略的一部分，我们可能会收购或投资于互补的公司、产品或技术。我们过去收购了，并预计未来将收购我们认为将补充或扩大我们现有业务的业务，例如我们在2021年收购的Vdoo和Upswft。确定合适的收购候选者是困难的，我们可能无法以有利的条件完成此类收购，如果真的有的话。如果我们完成未来的收购，我们可能最终无法加强我们的竞争地位或实现我们的目标和业务战略，我们可能会受到被收购公司、产品或技术承担的索赔或债务的影响，我们完成的任何收购可能会被我们的客户、投资者和证券分析师视为负面。此外，如果我们未能成功地将未来的收购或与此类收购相关的技术整合到我们的公司中，合并后公司的收入和运营结果可能会受到不利影响。任何整合过程都可能需要大量的时间和资源，这可能会扰乱我们正在进行的业务并转移管理层的注意力，我们可能无法成功管理整合过程。

我们可能需要支付现金、产生债务或发行股票或股票挂钩证券以支付任何未来收购，其中任何一项都可能对我们的财务状况或我们普通股的市场价格产生不利影响。出售股权或发行股票挂钩债务以资助任何未来收购可能会导致我们的股东摊薄。债务的产生将导致固定债务增加，还可能包括将阻碍我们筹集额外资本和管理我们运营的能力的契约或其他限制。任何这些风险的发生都可能损害我们的业务、经营业绩和财务状况。

我们未能筹集额外资本或产生扩大业务和投资新产品所需的大量资本，可能会降低我们的竞争能力，并可能损害我们的业务。

从历史上看，我们主要通过发行股票和运营产生的现金为我们的运营和资本支出提供资金。虽然我们目前预计我们现有的现金和现金等价物以及经营现金流将足以满足我们未来12个月的现金需求，但我们可能需要额外的融资。我们不时评估融资机会，而我们获得融资的能力将取决于（其中包括）我们寻求融资时的发展努力、业务计划、经营业绩及资本市场状况。我们不能向您保证，在需要时，我们将以优惠的条件提供额外的融资，或者根本不提供融资。如果我们通过发行股票或股票挂钩证券或债务证券筹集额外资金，这些证券可能拥有优先于我们普通股权利的权利、优先权或特权，我们的股东可能会受到稀释。

如果我们需要额外的资本，而不能以可接受的条件筹集，我们可能无法做到以下几点：

我们没有足够的资本来做这些事情中的任何一件，都可能损害我们的业务、财务状况和运营结果。

我们的一小部分收入来自对政府实体的销售，这些实体受到许多挑战和风险的影响。

对政府实体的销售受到公共部门客户特有的一些风险的影响。向政府实体销售可能竞争激烈、成本高昂且耗时，通常需要大量的前期时间和费用，但不能保证这些努力会带来销售。像我们这样的产品的政府认证要求可能会改变，从而限制我们向美国联邦政府、美国州政府或非美国政府部门销售产品的能力

直至我们获得此类修订后的认证为止。政府对我们产品的需求和付款可能会受到公共部门预算周期和资金授权的影响，资金减少或延迟会对公共部门对我们产品的需求产生不利影响。此外，任何实际或感知的隐私、数据保护或数据安全事件，甚至与我们在这些领域的实践或措施有关的任何感知缺陷，都可能对公共部门对我们产品的需求产生负面影响。

此外，我们依赖某些合作伙伴为我们的某些政府实体客户提供技术支持服务，以解决与我们的产品相关的任何问题。如果我们的合作伙伴不能有效地帮助我们的政府实体客户部署我们的产品，不能成功地帮助我们的政府实体客户快速解决部署后的问题，或者提供有效的持续支持，我们向新的和现有的政府实体客户销售其他产品的能力将受到不利影响，我们的声誉可能会受到损害。

政府实体可能拥有法定、合同或其他法律权利，可以为了方便或违约而终止与我们的合同，任何此类终止都可能对我们未来的运营结果产生不利影响。政府经常调查和审计政府承包商的行政程序，任何不利的审计都可能导致政府拒绝继续购买我们的订阅、减少收入、罚款或民事或刑事责任，如果审计发现不当或非法活动，这可能对我们的运营结果产生实质性和不利影响。

人工智能的开发和使用中的问题，再加上不确定的监管环境，可能会对我们的业务运营造成声誉损害、责任或其他不利后果。

我们已经在我们的产品和业务中融入了机器学习和人工智能技术，随着时间的推移，人工智能技术对我们的运营或未来的增长可能会变得更加重要。我们可能无法正确实施或推广我们对人工智能技术的使用。我们的产品和系统可能成为人工智能支持的滥用目标，我们对MLOPS的支持可能落后于正在快速变化的现有标准。我们的竞争对手或其他第三方可能会比我们更快或更成功地将人工智能技术整合到他们的产品、产品和解决方案中，这可能会削弱我们的有效竞争能力，并对我们的运营结果产生不利影响。

关于新的和新兴的人工智能技术(如生成性人工智能)的不确定性可能要求我们产生额外的费用，以研究和将生成性人工智能或其他新兴人工智能技术集成到我们的产品和内部系统中。任何此类研究、实施和整合都可能代价高昂，并可能影响我们的运营结果。此外，我们使用人工智能技术可能会使我们面临私人各方和监管机构的额外索赔、要求和诉讼，并使我们承担法律责任以及品牌和声誉损害、机密性或安全风险、竞争损害、道德和社会担忧或其他可能对我们的业务、声誉或财务业绩产生不利影响的复杂情况。

与我们的知识产权有关的风险

如果不能保护我们的专有技术和知识产权，可能会严重损害我们的业务和运营结果。

我们的成功在很大程度上取决于我们保护我们专有技术、方法、诀窍和品牌的能力。我们依靠商标、版权、专利、合同限制和其他知识产权法律和保密程序来建立和保护我们的专有权利。然而，我们在开放源码许可下提供某些产品，包括JFrog ArtiFactory的有限功能版本，在开放源码许可下向开放源码项目贡献其他源代码，在开放源码许可下发布内部软件项目，并期望在未来这样做。由于JFrog ArtiFactory的开源版本以及我们贡献给开源项目或在开源许可证下分发的任何其他软件的源代码是公开提供的，因此我们从此类源代码中获利并保护知识产权的能力可能会受到限制，甚至在某些情况下完全丧失。我们的竞争对手可以访问这样的源代码，并利用它来创建与我们竞争的软件和服务产品。

此外，我们在保护知识产权方面所采取的步骤可能并不足够。如果我们无法执行我们的权利，或者如果我们没有发现未经授权使用我们的知识产权，我们将无法保护我们的知识产权。如果我们不能充分保护我们的知识产权，我们的竞争对手可能会获得我们的专有技术，我们的业务可能会受到损害。此外，保护我们的知识产权可能需要付出巨大的代价。我们拥有或可能获得的任何专利、商标或其他知识产权可能会受到他人的质疑或通过行政程序或诉讼而无效。截至2023年12月31日，我们拥有多项有效专利，并已在美国和其他国家提交了专利申请。不能保证我们的专利申请将导致颁发专利。即使我们未来继续寻求专利保护，我们也可能无法为我们的技术获得进一步的专利保护。此外，未来颁发的任何专利可能不会为我们提供竞争优势，或者

可能会被第三方成功挑战。此外，与知识产权的有效性、可执行性和保护范围有关的法律标准也不确定。

尽管我们采取了预防措施，但未经授权的第三方可能会复制我们的产品，并使用我们认为是专有的信息来创建与我们竞争的产品。并不是在我们产品可获得的每个国家/地区，我们都能获得有效的专利、商标、版权和商业秘密保护。我们可能无法阻止第三方获得与我们的商标和其他专有权类似、侵犯或削弱其价值的域名或商标。一些国家的法律对知识产权的保护可能不如美国，知识产权执法机制可能不足。随着我们继续扩大我们的国际活动，我们面临的未经授权复制和使用我们的产品和专有信息的风险可能会增加。因此，尽管我们做出了努力，但我们可能无法阻止第三方侵犯或挪用我们的知识产权。

我们与我们的员工和顾问签订保密、非竞争、专有和发明转让协议，并与其他各方签订保密协议。不能保证这些协议将有效地控制我们专有信息的访问和分发，特别是在某些不太愿意执行此类协议的国家和国家，包括以色列。此外，这些协议可能不会阻止我们的竞争对手独立开发基本上等同于或优于我们产品的技术。

为了保护我们的知识产权，我们可能需要花费大量资源来监控和保护我们的知识产权。将来可能需要提起诉讼，以执行我们的知识产权并保护我们的商业秘密。为保护和执行我们的知识产权而提起的诉讼可能成本高昂、耗时，并会分散管理层的注意力，并可能导致我们部分知识产权的损害或损失。此外，我们执行知识产权的努力可能会遇到攻击我们知识产权有效性和可撤销性的抗辩、反诉和反诉讼。我们无法保护我们的专有技术免受未经授权的复制或使用，以及任何昂贵的诉讼或转移我们管理层的注意力和资源，可能会延迟我们产品的进一步销售或实施，损害我们产品的功能，延迟新产品的推出，导致我们将劣质或更昂贵的技术替代到我们的产品中，或损害我们的声誉。

我们可能会因任何侵犯、盗用或侵犯另一方知识产权的索赔而产生巨额费用。

近年来，软件行业发生了涉及专利和其他知识产权的重大诉讼。我们目前没有一个大的专利组合，这可能会阻止我们通过自己的专利组合阻止专利侵权索赔，我们的竞争对手和其他人现在和将来可能拥有比我们更大和更成熟的专利组合。我们可能会在起诉或辩护任何知识产权诉讼中产生大量费用。如果我们起诉以行使我们的权利，或者被声称我们的产品侵犯、挪用或侵犯其权利的第三方起诉，诉讼费用可能会很高，并可能转移我们的管理资源。

我们可能成为其中一方的任何知识产权诉讼，或我们被要求提供赔偿的任何知识产权诉讼，可能需要我们做以下一项或多项工作：

如果我们因任何知识产权侵权、挪用或违反索赔或因任何义务向客户赔偿此类索赔而被要求支付大量款项或采取上述任何其他行动，则此类付款或行动可能会损害我们的业务。

我们的员工可能会因所转让的职务发明权而要求支付报酬或版税，这可能导致诉讼并对我们的业务产生不利影响。

我们的知识产权的很大一部分是由我们的员工在受雇于我们的过程中开发的。根据第5727-1967号《以色列专利法》（《专利法》），雇员在受雇于一家公司的过程中、由于受雇于该公司或因受雇于该公司而产生的发明被视为“职务发明”，属于雇主所有，除非雇员与雇主之间达成给予雇员职务发明权利的具体协议。《专利法》还规定，如果雇主和雇员之间没有这种协议，则以色列赔偿和特许权使用费委员会（“委员会”），即根据《专利法》设立的机构，应确定雇员是否有权为其发明获得报酬。判例法阐明，雇员可以放弃因“职务发明”而获得报酬的权利，在某些情况下，这种放弃不一定必须是明确的。委员会将根据以色列一般合同法的解释规则，逐案审查双方之间的一般合同框架。此外，委员会尚未确定计算这一报酬的具体公式，而是使用《专利法》规定的标准。尽管我们通常与我们的员工签订发明转让协议，根据该协议，这些员工向我们转让他们在与我们的雇佣或合作范围内创造的任何发明的所有权利，但我们可能面临要求支付转让发明报酬的索赔。由于该等申索，我们可能须向现任及前任雇员支付额外薪酬或特许权使用费，或被迫就该等申索提起诉讼，这可能对我们的业务造成负面影响。

各种协议中的赔偿条款可能会使我们面临侵犯知识产权、挪用、违规和其他损失的重大责任。

我们与客户和其他第三方的协议可能包括赔偿条款，根据这些条款，我们同意赔偿他们因知识产权侵权、盗用或违反索赔而遭受或产生的损失，我们对财产或人员造成的损害，或与我们的软件、服务或其他合同义务有关或产生的其他责任。大额赔偿金可能会损害我们的业务、经营业绩和财务状况。根据某些协议，我们的责任没有上限，根据这些协议支付的任何款项都会损害我们的业务、经营业绩和财务状况。尽管我们通常在合同上限制我们对此类赔偿义务的责任，但我们仍可能承担与之相关的重大责任。与客户就此类义务发生的任何争议可能对我们与该客户、其他现有客户和新客户的关系产生不利影响，并损害我们的业务和经营业绩。

我们使用开源软件可能会对我们销售产品的能力产生负面影响，并可能使我们面临诉讼。

我们的付费产品包含开源软件，我们预计未来将继续在我们的付费产品中加入开源软件。适用于开源软件的许可证很少被法院解释，这些许可证可能被解释为可能对我们将付费产品商业化的能力施加意想不到的条件或限制的方式。此外，我们不能向您保证，我们没有在我们的软件中以与适用许可证的条款或我们当前的政策和程序不一致的方式使用其他开源软件。如果我们未能遵守这些许可，我们可能会受到某些要求的约束，包括要求我们免费提供解决方案的其他部分，要求我们为基于、并入或使用开放源代码软件创建的修改或衍生作品提供额外源代码，以及我们根据适用的开源许可条款许可此类修改或衍生作品。如果作者或分发此类开源软件的其他第三方声称我们没有遵守其中一个或多个许可证的条件，我们可能会被要求招致针对此类指控的巨额法律费用，并可能受到重大损害赔偿，被禁止销售我们包含开放源代码软件的产品，并被要求遵守对这些产品的繁琐条件或限制，这可能会扰乱这些产品的分发和销售。此外，还有针对将开源软件纳入其产品的公司提出的挑战开源软件所有权的索赔，此类开源软件的许可人不对此类索赔提供任何担保或赔偿。在这些情况下，我们和我们的客户可能被要求向第三方寻求许可以继续提供我们的产品，并在无法及时完成重新设计的情况下重新设计我们的产品或停止销售我们的产品。由于我们的解决方案依赖于某些开源软件，我们和我们的客户可能还会受到要求侵权、挪用或违规的各方的诉讼，而此类诉讼对我们来说可能是昂贵的辩护或强制令。一些基于“原样”提供的开放源码项目存在已知的漏洞和体系结构不稳定，如果不正确解决这些问题，可能会对我们产品的性能产生负面影响。上述任何情况都可能需要我们投入额外的研发资源来重新设计我们的解决方案，可能会导致客户的不满，并可能对我们的业务、运营结果和财务状况产生不利影响。

与隐私、数据保护和网络安全相关的风险

我们受到与隐私、数据保护和数据安全相关的严格且不断变化的法律、法规、标准和合同义务的约束。我们实际或认为不遵守此类义务可能会损害我们的业务。

我们接收、收集、存储、处理、传输、保留、使用和以其他方式处理与我们产品的用户、我们的员工和承包商以及其他人员有关的个人信息和其他数据。我们有法律和合同义务保护某些数据的机密性和适当使用，包括个人信息。我们受到许多联邦、州、地方和国际法律、指令和法规的约束，涉及隐私、数据保护和数据安全以及个人信息和其他数据的收集、存储、共享、使用、处理、传输、保留、安全、披露和保护，其范围正在变化，受到不同解释的影响，可能在司法管辖区之间不一致，或与其他法律和法规要求相冲突。我们还受制于与隐私、数据保护和数据安全相关的对第三方的某些合同义务。我们努力尽可能遵守我们的适用政策和适用法律、法规、合同义务以及与隐私、数据保护和数据安全相关的其他法律义务。然而，全球隐私、数据保护和数据安全的监管框架是不确定和复杂的，而且在可预见的未来可能仍然是不确定和复杂的，这些或其他实际或据称的义务可能会以我们没有预料到的方式解释和应用，或者在不同司法管辖区之间不一致，并可能与其他法律义务或我们的做法冲突。任何对隐私、数据安全或数据保护问题的看法，或无法遵守适用的法律、法规、政策、行业标准、合同义务或其他法律义务，即使没有根据，也可能导致我们承担额外的成本和责任，损害我们的声誉，并阻碍当前和未来客户采用我们的产品，并对我们的业务、财务状况和运营结果产生不利影响。此外，有关收集、存储、共享、使用、保留、安全、保护、披露、其他数据处理或其解释方面适用法律、法规或行业惯例的任何重大变化，或关于收集、使用、保留、披露或以其他方式处理此类数据必须征得用户或其他数据当事人同意的任何变更，都可能会增加我们的成本，并要求我们以可能无法完成的实质性方式修改我们的服务和功能，并可能限制我们存储和处理用户数据或开发新服务和功能的能力。

如果我们被发现违反了与隐私、数据保护或数据安全相关的任何适用法律或法规，再加上任何监管罚款、处罚或诉讼费用，我们的业务可能会受到实质性和不利的影响，我们可能不得不改变我们的业务做法，并可能不得不改变我们平台提供的服务和功能。此外，这些法律和法规可能会限制我们以商业上可取的方式使用和处理数据的能力。此外，如果发生或声称发生了违反数据安全的行为，如果指控违反了与隐私、数据保护或数据安全相关的任何法律和法规，或者如果我们在与隐私、数据保护或数据安全相关的保障措施或实践中存在任何实际或据称的缺陷，我们的解决方案可能会被视为不太可取，我们的业务、前景、财务状况和运营结果可能会受到实质性的不利影响。

各种美国(“U.S.”)隐私法可能与我们的业务相关，包括联邦贸易委员会法案、控制对未经请求的色情内容的攻击和营销法案以及电话消费者保护法。任何实际或被认为不遵守这些法律的行为都可能导致代价高昂的调查或诉讼，从而可能导致重大责任、用户失去信任，以及对我们的声誉和业务造成重大和不利的影响。

在美国国内，我们预计将加强对隐私、数据保护和数据安全的监管，包括通过更严格的法律。例如，2018年6月，加州通过了《加州消费者隐私法》(CCPA)，该法案为加州消费者提供了新的数据隐私权，并为覆盖的公司提出了新的运营要求。除其他事项外，CCPA规定，覆盖公司必须向加州消费者提供新的披露，并向这些消费者提供新的数据隐私权，包括向覆盖公司请求复制收集的有关他们的个人信息的权利，请求删除此类个人信息的权利，以及请求选择不出售此类个人信息的权利。CCPA于2020年1月1日生效。加州总检察长可以执行CCPA，包括寻求禁令和对违规行为进行民事处罚。CCPA为某些数据泄露行为提供了私人诉权，预计这将增加数据泄露诉讼。CCPA要求我们修改我们的数据实践和政策，并产生某些成本和支出以努力遵守。此外，加州选民于2020年11月通过了一项新的隐私法--《加州隐私权法案》(CPRA)。CPRA大幅修改了CCPA，可能会导致进一步的不确定性，并要求我们产生额外的成本和支出以努力遵守。此外，其他州也提出或颁布了隐私、数据保护和数据安全法律，例如，华盛顿的《我的健康、我的数据法案》和其他类似于CCPA的法律，如弗吉尼亚州、科罗拉多州、犹他州、康涅狄格州、爱荷华州、印第安纳州、蒙大拿州、田纳西州、俄勒冈州、佛罗里达州、特拉华州和德克萨斯州。这些新提出或颁布的法律可能会增加我们的潜在责任，并对我们的业务产生不利影响。

关于美国的网络安全，我们正在密切关注根据可能适用于我们的各种行政命令制定规则和指导意见的情况，例如，根据14028号行政命令关于“EO关键软件”的规定。这些正在制定的规则和指导可能会增加我们的合规成本，并推迟客户合同的执行。

在国际上，我们还预计将继续有新的法律、法规和行业标准在各个司法管辖区提出并颁布，涉及隐私、数据保护、信息安全和人工智能。例如，欧洲联盟(“欧盟”)的数据保护格局继续发展，可能导致内部合规的巨额运营成本和我们业务的风险。欧盟通过了于2018年5月生效的一般数据保护条例(GDPR)，其中包含了许多要求和与以前的欧盟法律相比的变化，包括对数据处理器的更严格的义务，以及公司对数据保护合规计划的更严格的文件要求。在其他要求中，GDPR监管将受GDPR约束的个人数据转移到未被发现为此类个人数据提供足够保护的第三国，包括美国。不遵守GDPR可能会导致对不遵守GDPR的处罚(包括对最严重违规行为可能处以最高2000万欧元的罚款和上一财政年度全球年营业额的4%，以及根据GDPR第82条个人要求赔偿经济或非经济损害赔偿的权利)。尽管我们努力遵守GDPR，但监管机构可能会认定我们没有这样做，并对我们进行罚款和公开谴责，这可能会损害我们的公司。

在其他要求中，GDPR监管将欧洲经济区(EEA)以外的个人数据转移到尚未对此类个人数据提供足够保护的第三国，包括美国。对于从我们的员工以及欧洲客户和用户向美国转移个人数据，我们依赖标准合同条款(SCC)。欧洲联盟法院于2020年7月16日作出的“Schrems II”裁决，令欧盟-美国私隐屏蔽框架成为把个人资料从欧洲经济区转移至美国的机制失效。在同一项裁决中，欧盟确认该等私隐保护协议的有效性，但建议必须按个别情况考虑该等私隐保护协议，并评估国家安全法律是否与资料进口商在该等私隐保护协议下所提供的保证有所抵触。欧盟委员会发布了新的SCC，说明了CJEU的“Schrems II”决定，并要求执行这些决定。这些发展是跨境数据传输监管方面的一个里程碑，需要对我们的数据传输政策进行重大修改，包括需要对从欧洲经济区到欧洲经济区以外国家的每一次数据传输进行法律、技术和安全评估。这意味着我们可能无法成功地维持我们从欧洲经济区转移和接收个人数据的合法手段。除其他影响外，我们还可能面临与增加合规负担相关的额外成本，我们和我们的客户可能面临欧洲经济区的监管机构对从欧洲经济区向美国传输个人数据应用不同标准的可能性，并阻止或要求对从欧洲经济区到美国的某些数据流采取的措施进行特别核实。我们还预计将被要求与第三方进行新的合同谈判，以帮助我们代表我们处理数据，并加入新的SCC。我们可能会遇到现有或潜在的欧洲客户不愿或拒绝使用我们的产品，我们可能会发现有必要或希望对我们对欧洲经济区居民个人数据的处理做出进一步的改变。

适用于处理欧洲经济区居民个人数据的监管环境，以及我们采取的应对措施，可能会导致我们承担额外的责任或产生额外的成本，并可能导致我们的业务、经营业绩和财务状况受到损害。我们和我们的客户可能面临欧洲经济区数据保护机构对我们和我们从欧洲经济区向我们传输个人数据采取执法行动的风险。任何此类执法行动都可能导致巨额成本和资源转移，分散管理层和技术人员的注意力，并对我们的业务、经营业绩和财务状况产生负面影响。

除了GDPR，欧盟委员会在审批过程中还有另一项法规草案，该草案侧重于个人进行私人生活的权利。这项拟议的法例名为《私隐及电子通讯规例》(下称《电子私隐规例》)，将取代现行的《电子私隐指令》。电子隐私条例原计划与GDPR同时通过和实施，目前仍在谈判中。最近，在2021年2月10日，欧盟理事会就其版本的电子隐私条例草案达成一致。如果被采纳，电子隐私条例预计将对基于互联网的服务和跟踪技术的使用产生广泛的潜在影响，如cookie。电子隐私条例的各个方面仍有待欧盟委员会和理事会进行谈判。我们预计，当《电子隐私条例》最终确定实施时，将产生额外的成本来遵守该条例的要求。此外，2022年1月13日，奥地利数据保护局公布了一项裁决，裁定网站运营商通过谷歌分析和其他分析和跟踪工具收集个人数据并转移到美国的行为违反了GDPR。2022年2月10日，法国数据保护局发布新闻稿称，法国数据保护局也发布了类似决定。2022年6月23日，意大利数据保护当局通过了类似的决定，2022年9月21日，丹麦数据保护当局通过了类似的决定。欧盟的其他数据保护机构越来越关注在线跟踪工具的使用，并表示计划发布类似的裁决。

2020年1月31日，英国(“U.K.”)退出欧盟(俗称“英国退欧”)。英国颁布了大量实施GDPR的立法，对不遵守GDPR的处罚最高可达1750万GB或全球收入的4%。英国已经发布了自己的SCC，以支持英国个人数据的转移。然而，英国数据保护法规的各个方面在中长期内仍不清楚。欧盟委员会和英国政府于2020年12月24日宣布了一项欧盟-英国贸易合作协议，2021年6月28日，欧盟委员会根据GDPR和执法指令发布了一项充分性决定，根据该决定，个人数据一般可以不受限制地从欧盟转移到英国，但有四年的日落时间，之后欧盟委员会的充分性决定可能会续期。在此期间，欧盟委员会将继续监测英国的法律情况，并可能随时干预其充分性决定。因此，英国的充分性决定可能会受到未来不确定性的影响，未来可能会被修改或撤销，因为英国可能被视为GDPR下的“第三国”，个人数据传输需要受到符合GDPR的保障措施(例如，SCC)的约束。由于英国数据保护法的解释和应用仍然存在不确定性，我们可能会在满足他们的要求以及对我们的政策和做法进行必要的更改方面面临挑战，并可能在努力做到这一点时产生巨大的成本和支出。

其他国家也在考虑或已经制定立法，这些立法可能会影响我们的合规义务，使我们承担责任，并增加我们提供服务的成本和复杂性。例如，不遵守以色列第5741-1981号《隐私保护法》及其条例以及以色列隐私保护局的准则，可能会使我们面临行政罚款、民事索赔(包括集体诉讼)，并在某些情况下承担刑事责任。此外，2021年9月1日生效的中国数据安全法和2021年11月1日生效的中国个人信息保护法对所有行业和操作的数据和个人数据处理活动进行全面规范，包括收集、利用、处理、共享和转移数据和个人信息。DSL和PIPL不仅适用于中国内部的数据处理，还寻求规范跨境数据传输以及中国以外的某些活动。DSL和PIPL施加的限制及其应用的不确定性可能会影响我们，并可能要求我们改变我们的政策和做法，以努力遵守。我们还在关注印度和日本等国最近或即将出台的立法对我们合规义务的进一步影响，包括可能增加我们提供服务的成本和复杂性的本地存储和处理数据的要求。这种现行或即将通过的立法也可能导致改变现行的执行措施和制裁。

除了政府监管外，隐私倡导者和行业团体可能会提出新的、不同的自律标准，这些标准可能在法律上或合同上适用于我们。这种自律标准的一个例子是支付卡行业数据安全标准(PCIDSS)，其涉及支付卡信息的处理。如果我们不遵守PCIDSS，可能会受到罚款和其他处罚，我们可能会遭受声誉损害和业务损害。我们也可能受到合同义务的约束，并同意遵守与隐私、数据安全或数据保护有关的其他义务，例如信息安全措施的特定标准。

我们还预计，有关隐私、数据安全和数据保护的现有法律法规或新提出的法律法规的解释将继续发生变化。我们还不能确定这些法律法规或变化的解释可能对我们的业务产生什么影响，但我们预计它们可能会削弱我们或我们的客户收集、使用或披露与消费者相关的信息的能力，这可能会减少对我们平台的需求，增加我们的成本，并削弱我们维持和增长客户基础以及增加我们收入的能力。此外，由于许多与隐私、安全和数据保护相关的法律和法规以及强制性行业标准的解释和应用都不确定，因此这些法律、法规和标准或我们正在或可能受到的合同义务的解释和应用可能会与我们现有或未来的数据管理实践或我们平台和产品的功能不一致。我们未能或被认为未能遵守我们张贴的隐私政策、我们对用户或其他第三方与隐私相关的义务，或与隐私、数据保护或数据安全有关的任何其他实际或声称的法律义务或法规要求，可能会导致消费者权益倡导团体或其他人对我们进行政府调查或执法行动、诉讼、索赔或公开声明，并可能导致重大责任，导致我们的用户失去对我们的信任，以及其他方面对我们的声誉和业务造成实质性和不利影响。此外，遵守适用于我们用户业务的法律、法规、其他义务和政策的成本和其他负担可能会限制我们平台的采用和使用，并减少对我们平台的总体需求。此外，如果与我们合作的第三方违反了适用的法律、法规或合同义务，此类违规行为可能会使我们的用户数据面临风险，可能会导致政府调查或执法行动、罚款、诉讼、索赔或消费者权益倡导团体或其他人对我们的公开声明，并可能导致重大责任，导致我们的用户失去对我们的信任，以及其他方面对我们的声誉和业务造成实质性和不利的影响。此外，公众对科技公司或其数据处理或数据保护做法的审查或投诉，即使与我们的业务、行业或运营无关，也可能导致对包括我们在内的科技公司的更严格审查，并可能导致政府机构制定额外的监管要求，或修改其执法或调查活动，这可能会增加我们的成本和风险。

违反我们的安全措施或未经授权访问专有和机密数据，或认为发生了任何安全违规或其他事件，可能会导致我们的平台或产品被视为不安全、客户使用减少或停止使用我们的产品，并承担重大责任。

虽然我们的产品不涉及处理大量个人数据或个人信息，但我们的平台和产品支持客户的软件，这可能涉及处理大量个人数据、个人信息以及保密或其他敏感或专有的信息。影响广受信任的数据安全体系结构的数据安全事件(例如影响SolarWinds Orion的事件、涉及Accellion FTA的事件、影响Microsoft Exchange的事件、影响Kaseya VSA的事件和涉及Log4j的事件-这些事件都没有直接影响我们)可能会提高客户对我们的平台和产品的安全、测试和合规性文档的期望，以实现安全的软件开发运营、管理、自动化和发布。此外，这些或其他事件可能会引发新的法律法规，增加我们的合规负担，增加报告义务，或以其他方式增加对我们的平台、产品和供应链的监督和监控成本。

在我们的业务运作中，我们确实收集和存储某些敏感和专有信息，并在较小程度上收集和存储个人数据和个人信息。这些信息包括商业秘密、知识产权、员工数据和其他机密数据。我们已采取措施保护我们自己的敏感和专有信息、个人数据和个人信息，以及我们以其他方式获得的此类信息，包括从我们的客户那里获得的信息。我们还聘请供应商和服务提供商存储和处理我们和客户的一些数据，包括敏感和专有信息、个人数据和个人信息。我们的供应商和服务提供商一直是，将来也可能是网络攻击、恶意软件、供应链攻击、网络钓鱼计划、欺诈以及他们为我们处理的系统和数据的机密性、安全性和完整性的其他风险的目标。我们监控供应商和服务提供商数据安全的能力是有限的，在任何情况下，第三方都可能绕过这些安全措施，导致未经授权或非法访问、误用、披露、丢失、获取、腐败、不可用、更改、修改或破坏我们和我们客户的数据，包括敏感和专有信息、个人数据和个人信息。

影响我们的安全漏洞和其他安全事件可能是由于员工或承包商的错误或疏忽，或者是我们依赖的供应商、服务提供商和战略合作伙伴的错误或疏忽造成的。这些攻击可能来自个人黑客、犯罪集团和国家支持的组织。已经并可能继续发生严重的供应链攻击，我们不能保证我们或我们的供应商或服务提供商的系统和网络没有被攻破，或者它们不包含可利用的漏洞、缺陷或错误，这些漏洞、缺陷或错误可能导致我们的系统和网络或支持我们和我们服务的第三方的系统和网络遭到破坏或中断。此外，我们的客户和用户还可能泄露或泄露他们的密码、API密钥或机密，这可能导致对他们的帐户和数据进行未经授权的访问，包括存储在我们产品中的有关他们的软件、源代码和安全环境的信息。随着我们继续扩大我们可以为客户提供的产品，包括通过收购补充业务(例如我们在2021年收购Vdoo)，以及通过内部开发(例如开发新的安全服务)，我们的产品可以访问客户的更敏感信息，这可能会导致安全漏洞和其他安全事件带来更大的不利影响。此外，我们向新服务和产品的扩张可能会使我们受到额外的监管。此外，我们还受到其他法律法规的约束，这些法律法规规定我们有义务采取合理的安全措施。我们会不时地识别产品漏洞，包括通过我们的漏洞赏金计划。如果我们的客户不修补易受攻击的产品版本，则在某些情况下可能会利用某些漏洞。未来，我们还可能遇到安全漏洞，包括网络安全攻击、网络钓鱼攻击或其他方式造成的漏洞，包括未经授权的访问、未经授权的使用、恶意软件或类似的漏洞或中断。我们在努力检测和防止安全漏洞和其他与安全相关的事件(包括保护我们的产品开发、测试、评估和部署活动的安全)时会产生大量成本，我们预计随着我们改进系统和流程以防止未来的漏洞和事件，我们的成本将会增加。

尽管我们做出了努力，我们的系统以及我们的供应商、服务提供商和战略合作伙伴的系统仍然可能容易受到计算机恶意软件、病毒、计算机黑客攻击、欺诈性使用、社会工程攻击、网络钓鱼攻击、勒索软件攻击、凭据填充攻击、拒绝服务攻击、未经授权的访问、利用漏洞、缺陷和漏洞、故障、损坏、中断、系统故障、停电、恐怖主义、破坏行为、故障、安全漏洞和事件、我们的员工、承包商、顾问、合作伙伴和/或其他第三方的疏忽或故意行为以及其他真实或感知的网络攻击的影响。我们的网络攻击和其他安全漏洞和事件的来源，以及我们的供应商、服务提供商和战略合作伙伴面临的风险，可能会因为以色列和哈马斯之间的战争、俄罗斯和乌克兰之间的战争以及相关的地缘政治紧张局势和地区不稳定而增加。由于第三方行为、员工错误、漏洞、缺陷或错误、渎职或其他原因，任何此类事件或对我们的安全的任何危害，或对我们或我们的服务提供商的系统或数据处理工具或流程、或我们的平台和产品的安全的任何未经授权的访问或破坏，都可能导致未经授权或非法的

访问、误用、披露、丢失、获取、损坏、不可用、更改、修改或破坏我们和我们客户的数据，包括敏感和专有信息、个人数据和个人信息，或对我们或我们客户系统的安全构成风险。

鉴于我们的许多员工和我们服务提供商的员工远程工作，我们可能更容易受到安全漏洞和其他安全事件的影响，因为我们和我们的服务提供商为这些员工实施、监控和执行我们的信息安全和数据保护政策的能力较弱。根据最近其他事件中设定的例子，我们的平台和产品变得越广泛，就越可能被恶意网络威胁参与者视为此类攻击的有吸引力的目标。我们和我们的服务提供商可能无法预见这些技术，无法及时做出反应、补救或以其他方式处理任何安全漏洞或其他安全事件，也无法实施足够的预防措施。在过去，我们经历过漏洞，没有一个漏洞导致账户被接管，所有这些已知的漏洞都得到了补救。

安全漏洞或其他事件可能导致声誉损害、诉讼、监管调查和命令、业务损失、赔偿义务、违约损害赔偿、违反适用法律、法规或合同义务的处罚，以及用于补救的巨额费用、费用和其他金钱支付，包括与法医检查和昂贵而繁重的违规通知要求有关的费用、费用和其他金钱支付。客户或其他人认为安全漏洞或其他事件影响了我们或我们的任何供应商或服务提供商，即使安全漏洞或其他事件没有影响我们或我们的任何供应商或服务提供商或实际上没有发生，都可能对我们造成任何或所有前述影响，包括损害我们的声誉。即使是对安全不足的看法也可能损害我们的声誉，并对我们获得新客户和留住现有客户的能力产生负面影响。如果发生任何此类违规或事件，我们可能需要花费大量资本和其他资源来处理我们或我们的供应商或服务提供商的事件。考虑到SolarWinds Orion事件和Kaseya VSA事件，如果我们的产品受到危害，向我们的客户提供了恶意访问或交付勒索软件或其他恶意软件的手段，此类事件的影响可能会很大。

用于破坏或未经授权访问系统或网络的技术正在不断发展，在某些情况下，直到针对目标发起攻击时才能识别。我们和我们的供应商和服务提供商可能无法预见这些技术，无法及时做出反应、补救或以其他方式解决任何安全漏洞或其他安全事件，也无法实施足够的预防措施。此外，美国和其他地方的法律、法规、政府指导以及行业标准和做法正在迅速演变，以应对这些威胁。我们可能会面临监管机构和客户对我们产品和服务的此类要求带来的更大合规负担，还会产生监督和监控我们自己的供应链的额外成本。

此外，我们的客户和用户协议、与我们的供应商和服务提供商的合同或与责任限制有关的其他合同中的任何条款可能无法强制执行或不足以或以其他方式保护我们免受与安全违规或其他安全相关事项有关的任何特定索赔的任何责任或损害。虽然我们的保单包括其中某些事项的责任范围，但根据适用的免赔额，如果我们经历了大范围的安全漏洞或其他事件，影响了大量客户，我们可能会受到超过我们保险范围的赔偿索赔或其他损害赔偿。如果发生此类违约或事故，我们的保险覆盖范围可能不足以支付实际发生的数据处理或数据安全责任，此类保险可能无法在未来以经济合理的条款继续向我们提供，并且保险公司可能会拒绝为我们未来的任何索赔提供保险。成功地向我们提出超出可用保险范围的一项或多项大额索赔，或我们的保单发生变化，包括保费增加或实施大笔免赔额或共同保险要求，可能会对我们的业务产生实质性的不利影响，包括我们的财务状况、经营业绩和声誉。

与海外业务相关的风险

我们的国际业务和扩张使我们面临风险。

我们的主要研发业务位于以色列。截至2023年12月31日，我们的客户分布在90多个国家，我们的战略是继续在国际上扩张。此外，由于我们利用分散的劳动力的战略。截至2023年12月31日，我们的员工主要分布在9个国家/地区。我们目前的国际业务涉及各种风险，未来的举措也将涉及各种风险，包括：

如果我们不能解决这些困难和挑战，或在我们的国际业务和扩张过程中遇到的其他问题，我们可能会产生意想不到的债务或以其他方式损害我们的业务。

当我们在中国开展业务时，与中国的经济、政治和社会事件相关的风险可能会对我们的业务和经营业绩产生负面影响。

我们目前正在扩大在中国的业务，并可能继续增加在中国的业务。我们在中国的业务受到与中国的经济和政治制度有关的一系列风险的影响，包括：

Republic of China政府采取的任何行动和政策，特别是在知识产权方面，中国经济的任何放缓，或根据中国网络安全法增加与数据传输相关的限制，都可能对我们的业务、运营结果和财务状况产生不利影响。

此外，近年来，美国和中国在政治和经济问题上多次发生分歧。这两个国家未来可能会出现争议。美国和中国之间的任何政治或贸易争端都可能对美国和欧洲的经济产生不利影响，并对我们普通股的市场价格、我们的业务、财务状况和财务业绩产生实质性的不利影响。

如果我们不能成功地维持和扩大我们的国际业务，我们可能会遭受更多的损失，我们的收入增长可能会受到损害。

我们未来的业绩在一定程度上取决于我们是否有能力维持和扩大我们目前经营的国际市场的渗透率，并向更多的国际市场扩张。我们在国际上扩张的能力将取决于我们提供反映我们目标国际客户需求的功能和外语翻译的能力。我们向国际扩张的能力涉及各种风险，包括需要在这种扩张上投入大量资源，以及这种投资的回报在不久的将来或在这些不太熟悉的竞争环境中根本无法实现的可能性。我们也可以选择通过战略合作伙伴关系或其他合作安排来开展我们的国际业务。如果我们无法确定合作伙伴或谈判有利条件，我们的国际增长可能会受到限制。此外，当我们试图在某些国际市场建立我们的存在时，我们已经并可能继续在产生物质收入之前产生大量费用。

我们受到各种政府出口管制、贸易制裁和进口法律法规的约束，如果我们违反这些管制，可能会削弱我们在国际市场上的竞争能力，或者让我们承担责任。

在某些情况下，我们的软件受出口管制法律和法规的约束，包括由美国商务部管理的出口管理条例，我们的活动可能受到贸易和经济制裁，包括由美国财政部外国资产管制办公室(OFAC)(统称为“贸易控制”)实施的制裁。因此，向某些国家/地区和最终用户以及某些最终用户出口或再出口我们的产品或提供相关服务可能需要许可证。此外，我们包含加密功能的产品可能会受到适用于加密项目和/或某些报告要求的特殊控制。

虽然我们采取预防措施并保持程序，以防止我们的产品和解决方案在出口时违反这些法律，但我们不能保证我们采取的预防措施将防止违反出口管制和制裁法律。我们目前正在努力加强这些程序，不遵守这些程序可能会使我们受到民事和刑事处罚，包括巨额罚款、可能因故意违规而监禁责任人、可能失去我们的出口或进口特权以及声誉损害。此外，获得必要许可证的过程可能很耗时或不成功，可能会导致销售延迟或失去销售机会。贸易管制是复杂和动态的制度，监测和确保遵守可能具有挑战性，特别是考虑到我们的产品在世界各地广泛分布，并且无需注册即可下载。虽然我们不知道我们的活动导致了违反贸易管制，但我们或我们的合作伙伴如果不遵守适用的法律和法规，将对我们造成负面后果，包括声誉损害、政府调查和处罚。

此外，各国都对某些加密技术的进口进行监管，包括通过进口许可和许可证要求，并颁布了可能限制我们分销产品的能力或限制我们的最终客户在这些国家实施我们的产品的能力的法律。我们产品的变化或这些国家进出口法规的变化可能会导致我们产品进入国际市场的延迟，阻止我们拥有国际业务的最终客户在全球范围内部署我们的产品，或者在某些情况下，完全阻止或延迟向某些国家、政府或个人出口或进口我们的产品。进出口法律或法规、经济制裁或相关法规的任何变化，现有出口、进口或制裁法律或法规的执行或范围的变化，或此类出口、进口或制裁法律或法规所针对的国家、政府、个人或技术的变化，都可能导致我们产品的使用量减少，或导致我们向具有国际业务的现有或潜在终端客户出口或销售我们产品的能力下降。我们产品使用的任何减少或我们向国际市场出口或在国际市场销售产品的能力受到限制，都可能对我们的业务、财务状况和运营结果产生不利影响。

如果不遵守反贿赂、反腐败、反洗钱法和类似的法律，我们可能会受到惩罚和其他不利后果。

我们须遵守经修订的美国1977年《反海外腐败法》(以下简称《反海外腐败法》)、美国联邦法典第18编第201节所载的美国国内反贿赂法规、美国《旅行法》、美国《爱国者法》、英国《2010年反贿赂法》、美国《犯罪所得法》、1977年《以色列刑法》第9章(第5分章)、2000年以色列《禁止洗钱法》，以及美国以外地区的其他反贿赂和反洗钱法律。近年来，反腐败和反贿赂法律得到了积极的执行，并被广泛解读为一般禁止公司、其员工、代理人、代表、商业合作伙伴和第三方中间人授权、提供或直接或间接向公共或私营部门的接受者提供不正当的付款或福利。

我们有时会利用第三方来销售我们的产品，并在国外开展业务。我们、我们的员工、代理、代表、业务合作伙伴和第三方中介可能与政府机构或国有或附属实体的官员和员工有直接或间接的互动，并可能被要求对这些员工、代理、代表、业务合作伙伴或第三方中介的腐败或其他非法活动负责，即使我们没有明确授权此类活动。我们不能向您保证，我们的所有员工和代理人不会采取违反适用法律的行为，我们可能最终要对此负责。随着我们增加国际销售和业务，我们在这些法律下的风险可能会增加。

这些法律还要求我们保持准确的账簿和记录，并保持旨在防止任何此类行为的内部控制和合规程序。虽然我们有政策和程序来解决此类法律的合规性问题，但我们不能向您保证，我们的任何员工、代理、代表、业务合作伙伴或第三方中介机构都不会采取违反我们的政策和适用法律的行为，我们可能最终要对此负责。

任何指控或违反《反海外腐败法》或其他适用的反贿赂、反腐败法律和反洗钱法律，都可能导致举报人投诉、制裁、和解、起诉、执法行动、罚款、损害赔偿、不利的媒体报道、调查、失去出口特权、严厉的刑事或民事制裁，或暂停或取消美国政府合同，所有这些都可能对我们的声誉、业务、运营结果和前景产生不利影响。对任何调查或行动的回应可能会导致管理层的注意力和资源的重大转移，以及巨额的国防费用和其他专业费用。此外，美国政府可能会要求我们对我们投资或收购的公司违反《反海外腐败法》的行为承担后续责任。一般来说，调查、执法行动和制裁可能会损害我们的声誉、业务、经营结果和财务状况。

我们面临货币汇率波动的风险，这可能会对我们的财务状况和经营业绩产生负面影响。

我们的功能货币是美元，我们的收入和支出主要以美元计价。然而，我们与员工人数相关的支出中有很大一部分是以新谢克尔计价的，主要包括工资和相关人员费用以及租赁和某些其他运营费用。这种外币风险敞口引发了与美元兑新谢克尔汇率变动相关的市场风险。此外，我们预计，我们的开支中有很大一部分将继续以新谢克尔计价。我们目前利用与金融机构签订的外币合约来防范外汇风险，主要是对新谢克尔兑美元汇率变动的风险敞口，这些变动与未来以新谢克尔计价的现金流有关。

此外，未来国际销售的增加可能会导致以外币计价的销售增加，从而增加我们的外汇风险。我们的租约有很大一部分是以美元以外的货币计价的，主要是以新谢克尔计价。相关租赁负债按现行汇率重新计量，这可能导致重大汇兑损益。此外，在美国境外发生的以外币计价的运营费用正在增加，并受外币汇率变化的影响。如果我们不能成功对冲与汇率波动相关的风险，我们的财务状况和经营业绩可能会受到不利影响。到目前为止，我们已经进行了套期保值交易，以努力降低我们面临的外汇兑换风险。虽然我们可能决定在未来继续进行对冲交易，但这些对冲交易的可用性和有效性可能有限，我们可能无法成功对冲我们的风险，这可能会对我们的财务状况和运营业绩产生不利影响。

与税收有关的风险

实际税率的意外变化或因审查我们的收入或其他纳税申报单而产生的不利结果可能会使我们承担比预期更大的纳税义务。

适用于我们业务的税法，包括以色列、美国和其他司法管辖区的法律，都受到解释的影响，某些司法管辖区可能会积极解释其法律，以努力增加税收。我们运营所在司法管辖区的税务当局可能会挑战我们对发达技术或公司间安排的估值方法或我们的收入确认政策，这可能会增加我们的全球有效税率，并损害我们的财务状况和运营结果。税务机关可能不同意我们采取的某些立场，此类审查或审计的任何不利结果可能会对我们的财务状况和经营业绩产生负面影响。此外，我们全球所得税和其他税项负债拨备的确定需要管理层做出重大判断，而且在某些交易中，最终的税收决定是不确定的。虽然我们相信我们的估计是合理的，但最终的税务结果可能与我们综合财务报表中记录的金额不同，并可能对我们在做出此类决定的一个或多个期间的财务业绩产生重大影响。

此外，我们通常在签订合同时向客户开出全额合同金额的发票，但在认购期内确认收入。适用的税务机关可能会挑战我们的纳税申报地位，并可能根据收到的现金加快我们的纳税义务，这可能会对我们的财务业绩产生重大影响。

我们的公司结构和公司间安排受不同司法管辖区的税法约束，我们可能有义务支付额外的税款，这将损害我们的经营业绩。

根据我们目前的公司结构，我们在世界各地的几个司法管辖区都要纳税，税法越来越复杂，其适用可能不确定。我们在这些司法管辖区缴纳的税款可能会因适用税务原则的改变而大幅增加，包括提高税率、新税法或修订现行税法和先例的解释。这些司法管辖区的当局可以审查我们的纳税申报单，或要求我们在我们目前没有提交的司法管辖区提交纳税申报单，并可能征收额外的税收、利息和罚款。这些机构还可以声称，各种预扣要求适用于我们或我们的子公司，声称我们或我们的子公司不能享受税收条约的好处，或者质疑我们评估发达技术或公司间安排的方法，包括我们的转让定价。有关税务机关可以认定，我们经营业务的方式没有达到预期的税收后果。如果发生这样的分歧，而我们的立场没有得到维持，我们可能会被要求支付额外的税款、利息和罚款。我们缴纳或征收的税额的任何增加都可能增加我们在全球的有效税率，并损害我们的业务和运营结果。

我们可以获得的税收优惠要求我们继续满足各种条件，并可能在未来被终止或减少，这可能会增加我们的成本和税收。

我们有资格享受根据1959年以色列《资本投资鼓励法》(简称《投资法》)向“首选技术企业”提供的某些税收优惠。为了继续享受“首选技术企业”的税收优惠，我们必须继续满足修订后的“投资法”及其条例中规定的某些条件。如果这些税收优惠被减少、取消或终止，我们从首选技术企业获得的以色列应税收入将适用以色列正常的公司税率。此外，例如，如果我们通过收购增加在以色列以外的活动，我们扩大的活动可能没有资格被纳入以色列未来的税收优惠计划。

我们可能被要求征收额外的销售、使用、增值、数字服务或其他类似税收，或者承担其他债务，这可能会增加我们的客户必须为我们的产品支付的成本，并对我们的运营结果产生不利影响。

我们在多个司法管辖区征收销售税、增值税和其他类似的税。美国一个或多个州或国家可能寻求对我们施加增量或新的销售、使用、增值、数字服务或其他税收义务。此外，美国越来越多的州已经考虑或通过了试图对州外公司施加税收义务的法律。此外，美国最高法院在南达科他州诉WayFair，Inc.等人，或WayFair，在线卖家可以被要求收取销售和使用税收，尽管没有实际存在于客户的州。作为对WayFair或其他方面的回应，美国各州或地方政府可能会通过或开始执行法律，要求我们在其管辖范围内计算、征收和汇出销售额的税款。如果美国一个或多个州成功地要求我们在我们目前不征税的地方征税，或在我们目前确实征收某些税款的司法管辖区征收更多税款，可能会导致巨额债务，包括过去销售的税款，以及利息和罚款。此外，一定

英国和法国等司法管辖区引入了数字服务税，这通常是对位于这些司法管辖区的用户或客户产生的毛收入征税，其他司法管辖区已经制定或正在考虑制定类似的法律。如果美国州或地方政府或其他国家或司法管辖区成功断言我们应该或应该征收额外的销售、使用、增值、数字服务或其他类似税收，除其他外，可能会导致大量税款支付，给我们带来重大的行政负担，因任何此类销售或其他相关税收的增量成本而阻止潜在客户订阅我们的平台，或以其他方式损害我们的业务。

我们使用净营业亏损结转来抵销未来应税收入的能力可能会受到一定的限制。

截至2023年12月31日，我们在以色列的净运营亏损结转了1.388亿美元，美国州的净运营亏损结转了5150万美元，这可能会用于未来的所得税。适用司法管辖区对我们利用经营亏损结转净额的能力施加的限制，包括我们已收购或未来可能收购的公司的经营亏损结转净额，可能会导致所得税的缴纳时间早于该等限制未生效的情况下应缴的所得税，并可能导致该经营亏损净结转到期而未使用，在每种情况下都会减少或消除该经营亏损结转净额的好处。此外，我们可能无法产生足够的应税收入来利用我们的净营业亏损结转到期前。如果上述任何事件发生，我们可能无法从我们的净营业亏损结转中获得部分或全部预期收益。

与我们普通股相关的风险

无论我们的经营业绩如何，我们普通股的市场价格可能会波动，也可能会下降。

我们普通股的市场价格可能波动很大，可能会因为各种因素而大幅波动或下跌，其中许多因素是我们无法控制的，包括：

我们的股份所有权集中在内部人士手中，可能会限制您影响公司事务的能力，包括影响董事选举结果和其他需要股东批准的事项的能力。

截至2023年12月31日，我们的高管、董事、目前5%或以上的股东和关联实体合计实益拥有我们已发行普通股的约18%。因此，这些股东将共同行动，控制某些需要我们股东批准的事项，包括董事的任免、增资、修订我们的公司章程，以及批准某些公司交易。即使其他股东反对，公司也可能采取行动。这种所有权集中还可能产生延迟或阻止其他股东可能认为有益的我们控制权变更的效果。应该指出的是，我们不知道我们的股东之间有任何投票协议或安排。

此外，我们的一名非执行董事与持有超过5%的普通股的股东有关联。

在公开市场上出售我们的大量普通股，或者认为可能会发生这种情况，可能会降低我们普通股的价格。

在公开市场上出售大量普通股，特别是我们董事、高管和主要股东的出售，或认为可能发生这些出售，可能会对我们普通股的市场价格产生不利影响，并可能使您更难在您认为合适的时间和价格出售您的普通股。

此外，在我们于2020年9月完成首次公开发售(“IPO”)前，我们的若干股东及我们的创办人根据经修订及重述的投资者权利协议，有权根据证券法登记其若干股份的权利。如果我们普通股的这些持有者通过行使他们的注册权出售大量股票，他们可能会对我们普通股的市场价格产生不利影响。我们还登记了根据我们的股权补偿计划可能发行的所有普通股的要约和出售。

与融资、收购、投资、我们的股票激励计划或其他方面相关的增发股票将稀释所有其他股东的权益。

我们修订和重述的组织章程细则授权我们发行最多5亿股普通股和最多5000万股优先股，以及我们的组织章程细则中包含的权利和优先股。在遵守适用规则和法规的情况下，我们可以不时发行普通股或可转换为普通股的证券，用于融资、收购、投资、我们的股票激励计划或其他方面。任何此类发行都可能导致我们现有股东的大量稀释，除非存在优先购买权，并导致我们普通股的市场价格下降。

以色列法律的规定以及我们修改和重述的公司章程可能会推迟、阻止或做出不受欢迎的收购我们全部或很大一部分股份或资产的交易。

以色列法律和我们的公司章程的某些条款可能会延迟或阻止控制权的变更，并可能使第三方收购我们或我们的股东更难选举不同的个人进入我们的董事会，即使这样做对我们的股东有利，并可能限制投资者未来可能愿意为我们的普通股支付的价格。例如，以色列公司法规范合并，并要求在超过公司投票权百分比的某些门槛时(取决于某些条件)进行要约收购。此外，以色列的税务考虑可能会使潜在的交易对我们或我们的一些股东来说是不可取的，因为我们的居住国与以色列没有税收条约，允许这些股东从以色列的税收中获得税收减免。

此外，根据第5744-1984号《产业法》中鼓励研究、开发和技术创新的规定及其《创新法》下的条例、准则、规则、程序和惠益跟踪，我们因从以色列国家技术创新局或以色列创新局(“IIA”)获得赠款而受其约束，我们公司等IIA赠款的接受者必须向IIA报告本公司控制手段的任何变更，将任何非以色列公民或居民转变为以色列证券法所定义的“利害关系方”。该非以色列公民或居民应以国际保险业协会规定的形式履行一项以国际保险业协会为受益人的承诺。

我们修订和重述的组织章程细则规定，美利坚合众国联邦地区法院将是解决根据证券法提出的任何诉因的独家论坛，这可能限制我们的股东选择司法论坛处理与我们或我们的董事、股东、高管或其他员工的纠纷。

证券法第22条规定，美国联邦法院和州法院对所有此类证券法诉讼拥有同时管辖权。因此，美国州法院和联邦法院都有管辖权受理此类索赔。为了避免不得不在多个司法管辖区对索赔提起诉讼，以及不同法院做出不一致或相反裁决的威胁等考虑因素，我们修订和重述的公司章程规定，除非我们以书面形式同意选择替代法院，否则美利坚合众国联邦地区法院应成为解决根据证券法提出的任何诉因的独家法院。这一排他性法院条款将不适用于为强制执行《交易法》规定的任何责任或义务而提起的诉讼。任何人士或实体购买或以其他方式取得本公司任何证券的任何权益，应被视为已知悉并同意本公司经修订及重述的组织章程细则的前述条文。

尽管我们相信这一排他性论坛条款对我们有利，因为它提高了美国联邦证券法在其适用的诉讼类型中的适用一致性，但排他性论坛条款可能会限制股东在与我们或我们的任何董事、股东、高管或其他员工发生纠纷时在司法法院提出其选择的索赔的能力，这可能会阻止针对我们以及我们的现任和前任董事、股东、高管或其他员工的此类索赔的诉讼。我们的股东不会因为我们的独家论坛条款而被视为放弃了我们对美国联邦证券法及其规则和法规的遵守。此外，如果法院发现我们修订和重述的公司章程中包含的排他性法院条款在诉讼中不可执行或不适用，我们可能会在其他司法管辖区产生与解决此类诉讼相关的额外费用，这可能会损害我们的运营结果。

我们不打算在可预见的未来派发红利。因此，您实现投资回报的能力将取决于我们普通股价格的升值。

我们从未宣布或支付过我们股票的任何现金股息。我们目前打算保留所有可用资金和任何未来收益用于我们的业务运营，并预计在可预见的未来不会为我们的普通股支付任何股息。因此，购买我们普通股的投资者可能无法从他们的投资中获得收益，除非在价格上涨后出售这些股票，这可能永远不会发生。

我们的董事会完全有权决定是否分红。如果我们的董事会决定派发股息，派息的形式、频率和数额将取决于我们的未来、运营和收益、资本要求和盈余、一般财务状况、合同限制和董事可能认为相关的其他因素。以色列第5759-1999年《公司法》(“公司法”)对我们申报和支付股息的能力施加了限制。支付股息还可能需要缴纳以色列预扣税。

与我们在以色列的注册和地点相关的风险

虽然JFrog的业务运行顺利，我们在以色列以外的大部分市场和支持服务(主要是在美国、印度和法国)，考虑到以色列的条件，包括最近哈马斯和其他恐怖组织从加沙地带发动的袭击，以及以色列对他们的战争，随着时间的推移，我们的业务可能会受到不利影响，这可能会导致收入下降。

由于我们的大部分研发工作是在以色列进行的，我们的董事会和管理层的某些成员以及我们大约一半的员工和顾问都在以色列，我们的业务和运营可能会受到以色列经济、政治、地缘政治和军事条件的影响。自1948年以色列国成立以来，以色列与其邻国和活跃在该地区的恐怖组织之间发生了多次武装冲突。

2023年10月，哈马斯武装分子和其他恐怖组织成员从加沙地带渗透到以色列南部边境，对平民和军事目标发动了一系列恐怖袭击。以色列目前打击哈马斯的战争的强度和持续时间难以预测，这场战争对公司的业务和业务以及对以色列总体经济的经济影响也很难预测。这些事件可能意味着更广泛的宏观经济迹象表明以色列的经济状况恶化，这可能对本公司及其有效开展业务的能力产生重大不利影响。

我们在以色列的某些雇员和顾问已经被召唤，并可能被召唤更多的雇员，在当前或未来的战争或其他武装冲突中服务。这类员工可能会长时间缺勤。因此，我们的运营可能会因此类缺席而中断，这可能会对我们的业务和运营结果产生实质性的不利影响。

某些国家、公司和组织参与了抵制以色列公司的活动。此外，最近还加大了促使公司和消费者抵制以色列商品和服务的努力。针对以色列、以色列企业或以色列公民的任何抵制、限制性法律、政策或做法都可能个别或整体对我们的业务产生重大不利影响。

可能很难执行针对我们、我们在以色列或美国的高级职员和董事的美国判决，或主张美国证券法在以色列的索赔或向我们的高级职员和董事送达诉讼程序。

并非我们所有的董事或官员都是美国居民。我们的大部分资产以及我们的非美国董事和高级管理人员的资产都位于美国以外。在美国境内可能很难获得向我们或我们的非美国常驻董事和高级职员送达法律程序文件。我们在以色列的法律顾问告诉我们，在以色列提起的原始诉讼中，可能很难根据美国证券法主张索赔，也很难根据美国联邦证券法的民事责任条款获得判决。以色列法院可能会拒绝审理因涉嫌违反美国证券法而对我们或我们的非美国官员或董事提出的索赔，理由是以色列不是审理此类索赔的最合适场所。此外，即使以色列法院同意审理索赔，它也可能确定适用于索赔的是以色列法律，而不是美国法律。如果认定美国法律适用，则美国适用法律的内容必须由专家证人证明为事实，这可能是一个既耗时又昂贵的过程。某些程序事项也可由以色列法律管辖。以色列几乎没有涉及上述事项的具有约束力的判例法。以色列法院可能不会执行在以色列境外做出的判决，这可能会使收集针对我们或我们的非美国官员和董事的判决变得困难。

此外，除其他原因外，包括但不限于欺诈或没有正当程序，或存在与同一事项中作出的另一判决不同的判决，如果同一事项的同一当事方之间的诉讼在以色列的法院或法庭待决，如果外国判决是在其法律不规定执行以色列法院判决的国家作出的(除特殊情况外)，或者如果执行判决可能损害以色列国的主权或安全，以色列法院将不执行该判决。

您作为我们股东的权利和责任受以色列法律管辖，以色列法律可能在某些方面不同于美国公司股东的权利和责任。

我们是根据以色列法律成立的。我们普通股持有人的权利和责任受我们修订和重述的公司章程和《公司法》管辖。这些权利和责任在某些方面不同于典型美国公司股东的权利和责任。特别是，根据《公司法》，以色列公司的每个股东在行使其对公司和其他股东的权利和履行其义务时，必须本着善意和惯常方式行事，不得滥用其在公司的权力，除其他外，包括在股东大会上就公司章程修正案、增加公司法定股本、合并以及根据《公司法》需经股东批准的某些交易进行表决。此外，以色列公司的控股股东或知道该公司有权决定股东投票结果，或有权任命或阻止任命董事或公司高管，或对公司有其他权力的股东，对公司负有公平义务。然而，以色列法律并未界定这一公平义务的实质内容。几乎没有判例法可用来帮助理解这些规范股东行为的条款的含义。

我们的某些研究和开发活动获得了以色列政府的拨款。这些赠款的条款可能要求我们满足特定条件，以便开发和转让此类赠款支持的以色列以外的技术。此外，在某些情况下，我们可能会被要求在偿还助学金的同时支付罚款。

我们的研究和开发工作的资金部分来自IIA的赠款。从我们成立到2015年，我们在国际投资局的支持下开展了项目，从国际投资局获得了总计120万美元的赠款，并向国际投资局偿还了130万美元(全部赠款和应计利息)。

创新法除其他外，要求作为赠款项目一部分开发的产品必须在以色列制造，并限制将IIA资助的专有技术转移到以色列境外的能力。将国际投资机构资助的专有技术转移到以色列境外需要事先获得批准，并须向国际投资机构支付根据《创新法》规定的公式计算的赎回费。为创新法的目的进行的转让通常被解释得非常宽泛，除其他外，包括任何实际出售国际投资局资助的专有技术、开发国际投资局资助的专有技术的任何许可证或这种国际投资局资助的专有技术所产生的产品或任何其他交易，这在本质上构成了对国际投资局资助的专有技术的转让。我们不能肯定，IIA的任何批准都会以我们可以接受的条款获得，或者根本不会。如果我们希望将来将IIA资助的技术诀窍和/或开发转移到以色列以外，我们可能得不到所需的批准。

向以色列境外的第三方转让IIA资助的项目所创造的全部或部分专有技术，需要事先获得批准，并须向IIA支付按照《创新法》规定的公式计算的赎回费。如果事先得到IIA的批准，我们可以将IIA资助的技术诀窍转让给另一家以色列公司。如果内审局资助的专有技术转让给另一个以色列实体，转让仍然需要内审局的批准，但不需要支付赎回费。在这种情况下，收购公司必须承担对以色列投资局的所有适用的限制和义务(包括在适用的范围内将技术诀窍和制造能力转移到以色列以外)，作为国际投资局批准的条件。

一般风险因素

作为一家上市公司的要求可能会使我们的资源紧张，并转移管理层的注意力。

作为一家在美国上市的上市公司，我们必须遵守《交易所法案》、《萨班斯-奥克斯利法案》、《2010年多德-弗兰克华尔街改革和消费者保护法案》、《纳斯达克》的上市要求以及其他适用的证券规则和法规的报告要求。遵守这些规则和法规增加了我们的法律和财务合规成本，使某些活动更加困难、耗时或成本高昂，并增加了对我们的系统和资源的需求。除其他事项外，《交易法》要求我们提交关于我们的业务和经营结果的年度、季度和当前报告。

此外，与公司治理和公开披露相关的法律、法规和标准的变化，包括美国证券交易委员会和纳斯达克实施的法规，可能会增加法律和财务合规成本，并使一些活动更加耗时。这些法律、条例和标准有不同的解释，因此，随着监管机构和理事机构提供新的指导，它们在实践中的适用可能会随着时间的推移而演变。

由于我们在提交给美国证券交易委员会的文件中披露了信息，因此我们的业务和财务状况是可见的，这可能导致威胁或实际的诉讼，包括竞争对手和其他第三方的诉讼。如果索赔成功，我们的业务和运营结果可能会受到不利影响，即使索赔不会导致诉讼或得到有利于我们的解决方案，这些索赔以及解决这些索赔所需的时间和资源可能会转移我们管理层的资源，并对我们的业务和运营结果产生不利影响。

如果我们未能维持有效的财务报告披露控制和内部控制制度，我们编制及时准确财务报表或遵守适用法规的能力可能会受到损害。

作为一家上市公司，我们必须遵守《交易所法案》、《萨班斯-奥克斯利法案》以及纳斯达克相关上市标准的报告要求。根据《萨班斯-奥克斯利法案》第404条的规定，我们必须由管理层提交一份关于财务报告内部控制有效性的报告。这项评估将需要包括披露我们管理层在财务报告内部控制方面发现的任何重大弱点。此外，我们的独立注册会计师事务所必须证明我们对财务报告的内部控制的有效性。

为了维持和改善我们对财务报告的披露控制和程序以及内部控制的有效性，我们已经并预计我们将继续花费大量资源，包括与会计相关的成本和重大的管理监督。例如，自首次公开募股以来，我们实施了与财务报表结算流程相关的额外政策和程序，并实施了一个系统来补充我们的核心会计系统，作为我们控制环境的一部分。我们预计这些规章制度的要求将继续增加我们的法律、会计、财务合规和审计成本，使一些活动变得更加困难、耗时和昂贵，并增加对我们人员、系统和资源的需求。

此外，我们目前的控制和我们开发的任何新控制可能会因为我们业务条件的变化而变得不够充分，包括我们的国际扩张导致的复杂性增加。此外，我们在披露控制或财务报告内部控制方面的弱点可能会在未来被发现。任何未能对财务报告进行内部控制的行为都可能严重抑制我们准确报告财务状况或经营结果的能力。如果我们无法得出我们对财务报告的内部控制有效的结论，或者如果我们的独立注册会计师事务所确定我们的财务报告内部控制存在重大弱点，我们可能会对投资者对我们财务报告的准确性和完整性失去信心，我们普通股的市场价格可能会下跌，我们可能会受到美国证券交易委员会或其他监管机构的制裁或调查。未能弥补财务报告内部控制的任何重大缺陷，或未能实施或维持上市公司所需的其他有效控制系统，也可能限制我们未来进入资本市场的机会。

以色列和哈马斯之间的战争、俄罗斯和乌克兰之间的战争以及世界各地其他地缘政治紧张地区的影响，包括相关的全球经济中断，目前仍不确定，可能会损害或继续损害我们的业务和行动结果。

以色列和哈马斯之间的战争，俄罗斯和乌克兰之间的战争，以及世界各地地缘政治紧张的其他地区，继续影响着全球经济活动和金融市场。由于以色列和哈马斯之间的战争、俄罗斯和乌克兰之间的战争以及相关的全球经济中断，我们可能会经历我们的业务或我们合作伙伴、客户或整个经济的业务中断，其中任何一项都可能对我们的业务、运营业绩和未来一段时间的整体财务状况产生负面影响。

以色列-哈马斯战争、俄罗斯-乌克兰战争以及相关的全球经济中断对我们的运营和财务状况的影响的程度和持续影响将取决于某些事态发展，包括：政府对战争的反应；战争对我们客户和我们的销售周期的影响；它们对客户、行业或基于技术的社区活动的影响；以及它们对我们合作伙伴的影响，其中一些是不确定的、难以预测的，并且不在我们的控制范围之内。由于以色列-哈马斯战争、俄罗斯-乌克兰战争以及世界各地其他地缘政治紧张地区造成的总体经济状况和全球市场混乱，以及政府当局和其他第三方采取的任何应对行动，也可能影响我们未来的表现。

截至本年度报告Form 10-K的日期，以色列和哈马斯之间的战争、俄罗斯和乌克兰之间的战争以及相关的全球经济混乱对我们的财务状况和运营结果的全面影响仍然不确定。此外，由于我们以订阅为基础的业务模式，这些因素的影响可能不会完全反映在我们的运营结果和整体财务状况中，直到未来一段时间(如果有的话)。

如果行业或金融分析师没有发布关于我们业务的研究或报告，或者如果他们发布了关于我们普通股的不准确或不利的研究报告，我们的股价和交易量可能会下降。

我们普通股的交易市场受到行业或金融分析师发布的关于我们或我们业务的研究和报告的影响。我们不控制这些分析师，也不控制他们报告中包含的内容和观点。作为一家新的上市公司，我们吸引研究报道的速度可能会很慢，发布我们普通股信息的分析师对我们公司的经验相对较少，这可能会影响他们准确预测我们业绩的能力，并使我们更有可能无法达到他们的预期。如果我们获得了行业或金融分析师的报道，如果任何报道我们的分析师对我们的公司发表了不准确或不利的意见，我们的股价可能会下跌。此外，在科技行业的许多公司未能达到或显著超过公司公开宣布的财务指引或分析师的预期后，这些公司的股价大幅下跌。如果我们的财务业绩未能达到或大大超过我们宣布的指引或分析师或公众投资者的预期，分析师可能会下调我们的普通股评级，或发表对我们不利的研究报告。如果这些分析师中的一位或多位停止对我们公司的报道，或未能定期发布有关我们的报告，我们在金融市场的可见度可能会下降，这反过来可能会导致我们的股价或交易量下降。

如果我们对关键会计政策的估计或判断是基于改变或被证明是不正确的假设，我们的经营结果可能会低于证券分析师和投资者的预期，导致我们普通股的交易价格下降。

按照公认会计准则编制财务报表要求管理层作出估计和假设，以影响合并财务报表和附注中报告的金额。我们根据历史经验和我们认为在当时情况下合理的各种其他假设作出估计，这些假设的结果构成对资产、负债、权益、收入和支出的账面价值作出判断的基础，而这些资产、负债、权益、收入和支出从其他来源看起来并不明显。如果我们的假设发生变化或实际情况与我们的假设不同，我们的运营结果可能会受到不利影响，这可能会导致我们的运营结果低于我们公开宣布的指引或证券分析师和投资者的预期，从而导致我们普通股的市场价格下降。须受该等估计及假设影响的重要项目包括但不限于交易价格在各项履约债务之间的分配、递延合约收购成本的估计受益期、信贷损失准备、已收购无形资产及商誉的公允价值、已收购无形资产及物业及设备的使用年限、经营租赁的递增借款利率，以及递延税项资产的估值及不确定的税务状况。

我们面临着信用风险和投资组合市值的波动。

鉴于我们业务的全球性，我们对美国和非美国的投资进行了多元化。我们投资的信用评级和定价可能会受到流动性、信用恶化、财务结果、经济风险、政治风险、主权风险或其他因素的负面影响。因此，我们投资的价值和流动性可能会大幅波动。因此，尽管我们没有意识到我们的投资有任何重大亏损，但未来其价值的波动可能会导致重大的已实现亏损。

灾难性事件，或恐怖主义等人为问题，可能会扰乱我们的业务。

重大自然灾害，如地震、火灾、洪水或重大停电，可能会对我们的业务、运营结果和财务状况产生不利影响。我们在旧金山湾区有许多员工和高管，该地区以地震活动和越来越多的野火而闻名。如果我们或我们的合作伙伴的能力受到上述任何事件的阻碍，销售可能会延迟，导致无法实现特定季度的预期财务目标。此外，恐怖主义行为、流行病，如新型冠状病毒的爆发或另一场公共卫生危机、抗议、骚乱和其他地缘政治动荡，都可能导致我们的业务或我们合作伙伴、客户或整个经济的业务中断。我们合作伙伴或客户业务的任何中断，如果影响到给定财政季度的销售额，都可能对我们该季度和未来几个季度的业绩产生重大不利影响。如果我们的灾难恢复计划被证明是不充分的，上述所有风险都可能进一步增加。

我们的业务可能会受到美国政治环境变化的负面影响。

拜登政府实施的政策变化可能会对我们的业务以及我们竞争的市场产生重大影响。在竞选期间以及最近讨论的可能对我们产生重大影响的具体立法和监管提案包括但不限于贸易协定、移民政策、进出口法规、关税和关税、联邦和州税法和法规、上市公司报告要求以及反垄断执法的变更。此外，由于未能通过预算拨款、通过持续融资决议或提高债务上限以及其他限制或推迟政府支出的预算决定而导致的联邦政府长期关闭可能会对美国或全球经济状况产生负面影响，包括企业和消费者支出以及资本市场的流动性。如果政治环境的变化对我们或我们的市场产生负面影响，我们的业务、经营业绩和财务状况可能会在未来受到重大不利影响。

项目1B。未解决的员工意见

没有。

伊特m 1C。网络安全

风险管理和战略

我们的信息安全计划由我们的首席安全官和安全工程副总裁（“CSO”）管理，其团队负责领导企业范围的网络安全战略，政策，标准，架构，技术和流程。CSO的主要职责包括评估、监控和管理我们的网络安全风险。凭借在网络安全领域超过24年的经验，我们的CSO为她的角色带来了丰富的经验。她的背景包括作为企业CSO的丰富经验，她在行业内得到了很好的认可。她深入的知识和经验有助于制定和执行我们的网络安全战略。我们的首席信息官（“CIO”）领导我们的治理风险和合规（“GRC”）职能部门，与首席信息官（“CIO”）合作，负责监督我们的治理计划，测试我们对标准的遵守情况，纠正已知风险，并领导我们的员工安全培训计划。

CSO致力于了解网络安全的相关发展，包括潜在威胁和创新风险管理技术。CSO实施并监督定期监控我们信息系统的流程。这包括部署先进的安全措施和先进的合规系统，以识别潜在的漏洞并缓解这些漏洞。CSO与公司内的各个关键部门密切合作-包括我们的首席技术官（“CTO”）办公室、工程、IT、DevOps、支持和生产-以实施我们的漏洞管理补救计划。这种合作符合软件开发生命周期的行业标准，强调了我们在运营的各个阶段维护强大的安全协议的承诺。

我们制定并维护了由CSO牵头的强大的网络安全事件应对计划。JFrog的网络安全事件响应团队制定了全面的战略和政策来管理安全事件。除了快速的威胁分类、遏制和根除，该战略还包括通知程序，以便根据适用的数据泄露通知法律及时通知和支持利益相关者。进行事件分析以了解根本原因并推动持续改进。

我们的信息安全控制和实践符合全球公认的标准：ISO 27001、ISO 27701、ISO 27017、SOC 2 Type II。我们还与美国商务部下属的国家标准与技术研究所推荐的网络安全实践和控制保持一致。

我们的第三方供应商风险管理计划面向有权访问我们的系统或数据或代表我们处理数据的第三方供应商，并包括基于风险的方法和在从入职到终止的第三方生命周期中的安全评估，以及通过合同控制和技术控制来监控供应商的状况。该计划旨在监督和识别与其使用任何第三方服务提供商相关的网络安全威胁带来的风险。

培训和意识

我们的员工在入职期间进行网络安全和数据隐私培训，我们的大多数员工都完成了年度进修模块。JFrog还维护了针对开发人员的安全代码培训计划和季度网络钓鱼模拟，以提高员工的意识和应变能力。在此类模拟中未达到我们的绩效预期的员工需要接受额外的培训。

与第三方就风险管理进行接触

鉴于网络安全威胁的复杂性和不断演变的性质，我们与包括网络安全评估员、顾问和审计师在内的一系列外部专家一起评估和测试我们的风险管理系统。这些合作伙伴关系使我们能够利用专业知识和洞察力，帮助我们的网络安全战略和流程与适用的普遍采用的行业最佳实践保持一致。我们与这些第三方的合作包括定期审计、威胁评估和渗透测试；安全增强咨询；识别我们产品和服务中的安全漏洞的漏洞奖励计划；设计与第三方供应商的合作伙伴关系；将我们的内部安全工具作为客户使用；以及针对潜在的关键网络安全事件的全球事件响应专家。

截至本报告之日，我们不知道有任何网络安全威胁对公司产生了重大影响或可能产生重大影响，包括我们的业务战略、经营业绩或财务状况。有关我们面临的网络安全风险的更多详细信息，请参阅本年报10-K表格中的第1A项风险因素，包括与隐私、数据保护和网络安全相关的风险：违反我们的安全措施或未经授权

访问专有和机密数据，或者认为发生了任何安全漏洞或其他事件，可能会导致我们的平台或产品被视为不安全，降低客户使用或停止使用我们的产品，并承担重大责任。

治理

我们的董事会建立了强有力的监督机制，以支持在管理与网络安全威胁相关的风险方面进行有效治理。我们所有的董事会成员都有科技行业的经验。在他们的指导和监督下，数据保护仍然是本组织最高层的战略优先事项。审计委员会负责监督我们的信息安全计划，管理层每年至少两次征求审计委员会的意见。我们的内部审计副总裁领导年度内部审计计划，其状况和内部审计结果每季度向审计委员会报告。通过董事会成员的持续对话和丰富的洞察力，我们的网络安全战略和倡议得到了完善。

我们的首席技术官也是董事会成员，他已经在JFrog设立了CSO办公室。我们的CTO和CSO拥有丰富的评估和管理网络安全计划和网络安全风险的经验，他们密切合作，确定我们的网络安全计划、CSO组织结构和网络业务连续性计划规划的举措。我们的首席技术官会定期更新我们的网络安全计划的状态。这使我们能够实时应对新出现的威胁并做出明智的决策，并及时保护我们的系统。在过去的二十年里，我们的首席信息官在信息技术和信息安全领域担任过各种职位，包括在两家上市公司担任首席信息官，管理和控制网络安全的长期计划和风险。治理、风险和合规(GRC)由CIO团队管理，而跨GRC活动由团队管理，与CSO保持一致。

风险评估由我们的内部审计副总裁定期进行。内部审计每季度进行一次并向审计委员会报告。

项目2.财产

我们的共同总部设在加利福尼亚州的桑尼维尔和以色列的内坦亚。根据2026年到期的租约，我们在森尼维尔租赁了约49,000平方英尺的办公空间，根据2026年到期的租约，我们在内坦亚租赁了约52,000平方英尺的办公空间。

我们租赁了所有的设施，没有任何不动产。我们相信，我们的设施足以满足我们目前的需求，并预计将随时提供适当的额外空间，以满足我们业务的任何可预见的扩张。

项目3.法律诉讼

本年度报告表格10-K第II部分第8项综合财务报表附注11“法律诉讼”项下所载资料，在此并入作为参考。

项目4.矿山安全信息披露

不适用。

第II部

项目5.注册人普通股市场、相关股东事项和发行人购买股权证券

我们普通股的市场信息

我们的普通股自2020年9月16日起在纳斯达克全球精选市场（纳斯达克）上市，股票代码为“FROG”。于该日之前，本公司普通股并无公开交易市场。

纪录持有人

截至2024年2月9日，我们有57名普通股记录持有人。实际持有人的数量大于这一记录持有人的数量，并包括实益拥有人，但其股份由经纪人和其他代名人以街道名称持有的持有人。

股利政策

我们从未宣布或支付任何现金股息。我们目前打算保留任何未来收益，预计在可预见的未来不会支付任何股息。任何未来宣派现金股息的决定将由董事会酌情决定，并受适用法律的限制，并将取决于多项因素，包括我们的财务状况、经营业绩、资本要求、合同限制、一般业务状况以及董事会可能认为相关的其他因素。

股票表现图表

本业绩图表不应被视为“征求材料”或“提交”给证券交易委员会或SEC，以用于《交易法》第18条的目的，或以其他方式承担该条规定的责任，并且不应被视为通过引用纳入我们根据《证券法》提交的任何文件。

下图比较了从2020年9月16日（我们的普通股开始在纳斯达克交易的日期）到2023年12月31日，我们普通股的累计总股东回报与标准普尔500指数和标准普尔500信息技术指数的累计总回报。所有价值都假设初始投资为100美元，标准普尔500综合指数和标准普尔信息技术指数的数据假设股息再投资。该等比较乃根据过往数据作出，并不代表亦无意预测本公司普通股之未来表现。

股权证券的未登记销售

没有。

发行人购买股票证券

没有。

第六项。[已保留]

项目7.管理层对财务状况和经营成果的讨论和分析

以下对我们财务状况和经营业绩的讨论和分析应与我们的合并财务报表和本年度报告其他地方的10-K表格中的相关附注一并阅读。您应该查看本年度报告中的“关于前瞻性陈述的特别说明”一节，以了解前瞻性陈述的讨论以及可能导致实际结果与以下讨论和分析中所述或所含前瞻性陈述所暗示的结果存在重大差异的重要因素。可能导致或促成此类差异的因素包括但不限于以下确定的因素，以及本年度报告表格10-K中标题为“风险因素”一节中讨论的因素。我们的历史业绩并不一定代表未来任何时期的预期业绩。

下节概述我们截至2023年12月31日止年度与截至2022年12月31日止年度的财务状况及经营业绩。有关我们截至2022年12月31日止年度与截至2021年12月31日止年度的财务状况及经营业绩的讨论，请参阅我们于2023年2月9日向美国证券交易委员会提交的10-K表格2022年年度报告第二部分第7项。

概述

JFrog的愿景是为一个不断更新、安全、可信的软件世界提供动力-我们称之为Liquid Software。

我们提供端到端、混合、通用的软件供应链平台，使组织能够在任何系统上持续、安全地创建和交付软件更新。该平台是软件开发和软件部署之间的关键桥梁，为现代软件供应链管理和软件发布流程铺平了道路。我们使组织能够更快，更安全地构建和发布软件，同时使开发人员，安全团队和机器学习运营团队更加高效。截至2023年12月31日，我们的全球客户群约有7，400个组织，涵盖所有行业和规模，其中包括约83%的财富100强组织，而截至2022年12月31日约有7，200个组织。财富500强中的所有前10大技术组织、前10大金融服务组织中的9家、前10大零售组织中的9家、前10大医疗保健组织中的9家，以及前6大电信组织都采用了JFrog平台，开始了他们向Liquid Software迈进的旅程。截至二零二三年十二月三十一日止年度，我们的十大客户占我们总收益约7%，并无单一客户占我们总收益超过1%。截至2023年12月31日止年度，我们38%的收益来自美国以外的客户。

我们已经设计了我们的订阅结构和进入市场战略，以使我们的增长与客户的成功保持一致。我们的商业模式得益于我们以价值为导向的方式满足所有客户需求的能力，从个人软件开发人员，安全团队和IT运营商到最大的组织。

我们通过向客户出售订阅来产生收入。我们为自我管理部署提供订阅层，我们的客户在其公共云、内部部署、私有云或混合环境中部署和管理我们的产品，以及JFrog管理的公共云部署，我们将其称为SaaS订阅。截至2023年12月31日止年度，来自SaaS订阅的收益占我们总收益的34%，而截至2022年12月31日止年度则为28%。

我们的自管理订阅按年度和多年提供，我们的SaaS订阅按月度、年度和多年提供。截至2023年12月31日止年度，来自Enterprise Plus订阅的收益占我们总收益约46%，而截至2022年12月31日止年度则约为38%。企业升级版订阅的收入增长表明客户对我们的端到端解决方案的需求增加，以实现整个软件供应链管理。

我们对软件开发人员、安全团队和IT运营商社区有着坚定的承诺，并通过提供各种形式的免费访问我们的产品以及上述付费订阅来表明这一承诺。这

免费访问采取免费试用和开源软件的形式，并有助于在软件开发人员、安全和IT运营商社区中产生对我们付费产品的需求。

截至2023年及2022年12月31日止年度，我们的收入分别为349. 9百万元及280. 0百万元，按年增长率为25%。我们继续投资于业务，截至2023年及2022年12月31日止年度分别录得净亏损61. 3百万元及90. 2百万元。

以色列-哈马斯战争

2023年10月7日，哈马斯武装分子和其他恐怖组织成员从加沙地带渗透到以色列南部边境，对民用和军事目标进行了一系列恐怖袭击。袭击发生后，以色列安全内阁对哈马斯宣战，在哈马斯继续发动火箭和恐怖袭击的同时，对这些恐怖组织展开了军事行动。

鉴于以色列安全内阁宣布对哈马斯发动战争，并可能与其他组织发生敌对行动，以色列国防军招募了数十万名以色列预备役人员立即服兵役。我们在以色列的某些雇员和顾问已经被召唤，随着冲突的进展，可能会召唤更多的雇员。这类员工可能会长时间缺勤。因此，我们已采取措施，减轻哈马斯和以色列之间的战争对我们的业务和行动结果的影响。

尽管我们的注册地在以色列，但我们是一家基于云的全球公司，业务遍及以色列以外的许多国家，拥有冗余的基础设施和代码。我们维持一项全面的业务连续性计划，并根据这一计划采取了必要的步骤，以确保我们的业务和对客户的服务保持一致，因为在哈马斯和以色列之间的战争中被征召为预备役的某些员工。我们的业务连续性计划围绕三大支柱构建，并于2023年10月7日以色列遇袭数小时后启动。第一个支柱是我们的内部计划，重点是我们在以色列的员工的安全，并保持内部沟通渠道。第二个支柱围绕支持我们服务、安全、网络防御和研发的连续性的技术。第三个支柱是致力于我们面向外部的活动，以促进客户接触、支持和外部沟通的连续性。截至本年度报告Form 10-K的日期，我们的经营业绩没有受到重大干扰或重大不利影响。我们将继续监测事态的进展。

影响我们业绩的因素

我们认为，我们未来的表现将取决于许多因素，包括以下因素：

扩大我们在技术方面的领先地位

我们打算通过开发新产品和扩展现有产品的功能来继续增强我们的平台，以保持我们的技术领先地位。今天，以JFrog ArtiFactory为中心，我们的平台由额外的安全解决方案和互联设备管理解决方案组成。我们不断投入创新，推出新产品和新能力。例如，在2023年7月，我们发布了JFrog Curation，这是一种解决方案，可以防止恶意开源或第三方软件包及其各自的依赖项进入组织的软件开发环境。

我们投入巨资将我们的产品与主要的封装技术相结合，以便我们的产品可以在任何开发环境中轻松采用。我们相信，这些集成为我们的客户增加了我们平台的价值，因为它们为软件开发人员、安全和IT运营商提供了选择的自由，并有助于避免供应商的束缚。我们打算在未来投入更多资源，继续推出新产品、新特性和新功能。

扩大现有客户的使用范围

我们相信，与我们的许多现有客户一起，存在着巨大的增长机会。许多客户通过自助渠道购买我们的产品，随着时间的推移，他们的使用往往会大幅扩大。我们产品参与度的提高为我们的支持和客户成功团队提供了与客户直接合作的机会，向他们介绍其他产品和功能，并推动我们的产品在大型团队和更广泛的组织中使用。此外，当客户从自我管理订阅迁移到SaaS解决方案时，我们看到了扩展机会，因为客户在迁移后通常会提高其平台使用率。我们将继续扩大我们的战略团队，以

在我们最大的客户中识别新的用例并推动JFrog的扩展和标准化，以保持工程级客户支持，并推出响应客户需求的新产品和功能。

我们通过净美元留存率来量化我们在现有客户中的扩张。我们的净美元留存率比较了我们在可比期间从同一组客户那里获得的年度经常性收入(“ARR”)。我们将ARR定义为截至本季度最后一个月所有客户订阅协议的年化收入运行率。ARR包括月度订阅客户，只要我们从这些客户那里产生收入。我们按年计算每月的订阅量，方法是将合同规定的某一月从这类客户那里获得的收入乘以12。我们首先确定客户(“基本客户”)，即特定季度(“基本季度”)的最后一个月的客户，以此计算净美元保留率。然后，我们计算这些基本客户在下一年同一季度(“比较季度”)的最后一个月的合同ARR。这一计算包括了自基础季度以来的追加销售、收缩和自然减员。然后，我们将基本客户的总比较季度ARR除以总的基本季度ARR。我们在特定季度的净美元留存率是通过将该特定季度的结果与之前三个季度的相应结果进行平均得到的。我们的净美元留存率可能会因一系列因素而波动，包括我们客户基础的渗透率水平、产品和功能的扩展以及我们留住客户的能力。截至2023年12月31日和2022年12月31日，我们的净美元保留率分别为119%和128%。我们预计我们的净美元留存率将稳定在当前水平附近。

我们专注于增加大客户的数量，以衡量我们与客户一起扩展规模的能力，并吸引更大的组织采用我们的产品。截至2023年12月31日，我们有886个客户的ARR达到或超过100,000美元，而截至2022年12月31日的客户为736个。截至2023年12月31日，我们有37个ARR至少为100万美元的客户，而截至2022年12月31日的客户为19个。

获取新客户

我们相信，有一个重要的机会来增加使用我们平台的客户数量。截至2023年12月31日，福布斯全球2000强中约32%是我们的客户。我们的运营结果和增长前景将在一定程度上取决于我们吸引新客户的能力。到目前为止，我们主要依靠我们的自助服务和入站销售模式来吸引新客户。潜在客户可以通过我们的免费试用和开源软件选项来评估和采用我们的产品。与提供这些免费试用和开放源码软件选项相关的成本包括在销售和营销中。虽然我们相信我们的平台拥有一个重要的市场机会，但我们需要继续在客户支持、销售和营销以及研发方面进行投资，以抓住这个机会。

此外，我们相信我们的产品满足了全球客户的软件发布需求，我们认为国际扩张是一个重大机遇。自成立以来，我们一直在国际市场上经营和销售我们的产品。虽然我们相信，随着国际市场对我们品牌知名度的提高，全球对我们产品的需求将继续增加，但我们在国际上开展业务的能力将需要相当大的管理层关注和资源，并面临着在多语言、文化、海关、法律和监管体系、替代纠纷体系和商业市场的环境中支持快速增长的业务的特殊挑战。

非公认会计准则财务指标

除了根据GAAP确定的结果外，我们认为自由现金流这一非GAAP财务指标在评估我们的业务表现时也是有用的。

自由现金流

自由现金流是一种非公认会计准则的财务衡量指标，我们将其计算为经营活动提供的净现金减去购买的财产和设备。我们相信，这是一个有用的流动性指标，可以向管理层和投资者提供有关我们核心业务产生的现金数量的信息，这些现金在购买物业和设备后可用于战略举措，包括投资于我们的业务、进行战略性收购和加强我们的资产负债表。自由现金流量作为一种分析工具有其局限性，不应孤立地加以考虑，也不应替代对其他公认会计准则财务指标的分析，例如经营活动提供的现金净额。自由现金流的一些局限性是，这一指标不反映我们未来的合同承诺，可能会被我们行业中的其他公司以不同的方式计算，限制了它作为一种比较指标的有效性。我们预计，随着我们投资于我们的业务以支持我们的增长计划，我们的自由现金流将在未来一段时间内波动。

下表汇总了各列报期间的现金流量，并对各列报期间的经营活动现金净额(根据公认会计原则计算的最直接可比财务指标)与自由现金流(非公认会计准则财务指标)进行了对账：

经营成果的构成部分

收入

我们的收入包括来自自我管理订阅和SaaS订阅的收入。对我们自主管理软件的订阅包括许可、支持以及升级和更新。通过我们的SaaS订阅，可以访问托管在公共云中的我们产品的最新托管版本。

订阅-自我管理和SaaS

订阅-自我管理和SaaS收入来自销售我们的自我管理软件产品的订阅和我们的SaaS订阅的收入。对于订阅我们的自我管理软件产品，收入在订阅期限内按费率确认。对于我们的SaaS订阅，收入根据使用情况确认，因为使用情况发生在合同期限内。

许可证-自我管理

我们的自我管理订阅的许可证部分反映了通过向客户提供对专有软件功能的访问而确认的收入。当软件许可证提供给我们的客户时，许可证收入将预先确认。

收入成本

订阅-自我管理和SaaS

订阅成本-自我管理和SaaS收入主要包括与向客户提供支持相关的费用和与云相关的成本，如托管和管理成本。这些成本主要包括我们的服务和客户支持人员的人员相关费用、基于股份的薪酬费用、已收购无形资产的摊销、公共云基础设施成本、财产和设备的折旧以及分配的管理费用。我们预计，随着订阅和SaaS收入的增加，我们的订阅成本和SaaS收入将以绝对值计算增加。

许可证-自我管理

许可证成本自营收入包括已获得的无形资产的摊销。

运营费用

研究与开发

研发成本主要包括与人员相关的费用、基于份额的薪酬费用、与我们负责产品设计、开发和测试的工程人员相关的费用、开发环境和工具的成本以及分配的管理费用。我们预计我们的研发费用将

随着我们增加研发人员，以进一步加强和提升我们的产品，并投资于软件的开发，我们的研发成本将继续增加。

销售和市场营销

销售和营销费用主要包括与人员相关的费用、基于股份的薪酬费用、主要与我们的销售和营销组织相关的销售佣金、与我们的免费试用和开源软件选项相关的公共云基础设施成本，以及与营销计划和用户活动相关的成本。营销计划包括广告、促销活动和品牌建设活动。我们计划在可预见的未来增加对销售和营销的投资，因为我们将继续雇用更多的人员并投资于销售和营销计划。

一般和行政

一般及行政开支主要包括人事相关开支、主要与我们的财务、法律、人力资源及其他营运及行政职能有关的股份薪酬开支、外部法律、会计及其他咨询服务的专业费用、董事及高级职员的保险开支，以及分配的间接费用。我们预计将扩大我们的一般和行政职能的规模，以支持我们的业务增长。

利息和其他收入，净额

利息及其他收入净额主要包括现金等价物及短期投资所赚取的收入。利息和其他收入净额还包括汇兑损益。

所得税费用

所得税费用（福利）主要包括与我们开展业务的美国和其他外国司法管辖区相关的所得税。我们对以色列的某些递延税项资产保持全额估值备抵，因为我们认为递延税项资产变现的可能性不大。我们的实际税率受外国司法管辖区的税率及我们于该等司法管辖区赚取的收入的相对金额，以及不可扣税开支（例如以股份为基础的薪酬）及我们估值拨备的变动影响。

经营成果

下表载列选定的综合经营报表数据及该等数据占所示各期间总收入的百分比：

_________________________________________

(1)包括基于股份的薪酬费用如下：

(二)包括取得的无形资产的摊销费用如下：

(3)包括与购置有关的费用如下：

(4)包括法律和解费用如下：