電子愛好者網(wǎng)報(bào)道(文章 / 黃晶晶）AI 大型模型不但可以使用文生圖、文生視頻、人機(jī)對換等，還可以幫助開發(fā)者敲擊代碼，但是這又出現(xiàn)了一個(gè)問題，ChatGPT 代碼的產(chǎn)生也可能存在漏洞。全球軟件供應(yīng)鏈的安全性可以說面臨著更大的挑戰(zhàn)，AI 爆發(fā)，大量應(yīng)用程序的出現(xiàn)，公司內(nèi)部應(yīng)用 AI 等待許多新事物都考驗(yàn)著軟件開發(fā)者的抗風(fēng)險(xiǎn)能力。

軟體安全又面臨著新的問題

近日，JFrog 專門針對全球產(chǎn)業(yè)鏈安全問題的企業(yè)研究團(tuán)隊(duì) CVE 分析公共漏洞披露，委托第三方機(jī)構(gòu)進(jìn)行研究 1224 名稱安全、開發(fā)、運(yùn)維相關(guān)從業(yè)人員，總結(jié)發(fā)布全球軟件供應(yīng)鏈發(fā)展報(bào)告。JFrog 在媒體活動(dòng)中，中國技術(shù)主管王青對報(bào)告進(jìn)行了專業(yè)解讀。

報(bào)告指出，AI 大型模型不僅是前端內(nèi)容的生成，還包括模型、數(shù)據(jù)、Python 腳本在器皿環(huán)境中運(yùn)行，需要后端軟件供應(yīng)鏈的支持。王青說，例如，以前主要使用它。 C 和 C 設(shè)計(jì)語言，現(xiàn)在使用多種編程語言。因此，企業(yè)在使用語言包時(shí)會(huì)注意到許多隱藏的風(fēng)險(xiǎn)，以及面對已知的安全風(fēng)險(xiǎn)需要多長時(shí)間和費(fèi)用進(jìn)行安全修復(fù)等。

根據(jù) JFrog Catalog 數(shù)據(jù)，Docker 和 npm 這是對包類型最大的貢獻(xiàn)。程序包的總數(shù)不斷增加，從而形成了一個(gè)日益龐大的軟件供應(yīng)鏈。垃圾郵件、惡意程序包和相關(guān)風(fēng)險(xiǎn)是新程序包和數(shù)據(jù)庫的自然組成部分。新版本的快速引入需要付出很大的努力才能正確管理。

研究表明，92% 專家認(rèn)為，他們的公司至少有一個(gè)惡意開源包來監(jiān)控惡意開源包，89% 一些受訪者說，他們已經(jīng)使用了。 OpenSSF SLSA 的框架。這一框架以谷歌為主，由開源軟件安全基金會(huì)主導(dǎo)（Open Source Security Foundation）軟件供應(yīng)鏈安全標(biāo)準(zhǔn)的普及，目前國際上對其接受程度較高。目前國內(nèi)也有一些企業(yè)在慢慢落地。

42%的開發(fā)人員 有人說，在編寫代碼時(shí)，最好進(jìn)行安全掃描。另外，48% 受訪者表示，他們在掃描代碼時(shí)通過手動(dòng)檢查代碼，而不是自動(dòng)掃描。只有 1% 受訪者表示，代碼審查實(shí)現(xiàn)了完全自動(dòng)化。

報(bào)告中的安全實(shí)踐部分，59% 公司成立時(shí)進(jìn)行安全掃描，編碼時(shí)進(jìn)行安全掃描的公司比例也是如此。 59%，可以看出在開發(fā)階段進(jìn)行安全掃描的比例很高。

最為常用的應(yīng)用安全解決方案部分，靜態(tài)應(yīng)用安全檢測最多，占比最大， 61%。由于耗時(shí)較長、有時(shí)間、有時(shí)間，動(dòng)態(tài)應(yīng)用程序安全檢測 58% 該安全測試由企業(yè)進(jìn)行；同時(shí)，軟件構(gòu)成分析測試的比例 58%；56% 的企業(yè)實(shí)現(xiàn) API 安全掃描。

在互聯(lián)網(wǎng)、Docker Hub 上，JFrog 調(diào)研了 212 個(gè) CVE 樣本。JFrog 安全團(tuán)隊(duì)將 85% 的嚴(yán)重 CVE 和 73% 的高危 CVE 降低評級。這意味著R&D部門可以避免額外關(guān)注漏洞成績虛高的漏洞。

在對大模型 AI 90%的領(lǐng)域在進(jìn)行調(diào)查時(shí)， 受訪者表示，他們的掃描工具支持 AI；90% 在一定程度上支持受訪者 AI 幫助安全掃描或修復(fù)的工具； 32% 該公司的受訪者表示，大多數(shù)人可以使用 Copilot 等 AI 由于工具幫助代碼生成， ChatGPT 代碼的產(chǎn)生可能存在漏洞，超過一半的人認(rèn)為這種行為是有風(fēng)險(xiǎn)的。

JFrog 安全性掃描，阻止惡意內(nèi)容

JFrog 與 Docker 經(jīng)過公司聯(lián)合調(diào)查， Docker Hub 發(fā)布惡意無鏡像存儲(chǔ)庫的數(shù)據(jù)。JFrog 在 Docker Hub 在倉庫里找到了 460 一萬個(gè)沒有器皿數(shù)據(jù)的 Docker Hub 存儲(chǔ)庫(又稱“無鏡像”)。這些鏡像存儲(chǔ)庫沒有鏡像，但大部分都是惡意的。他們的簡介頁面試圖欺騙用戶訪問欺詐網(wǎng)站或管理危險(xiǎn)惡意程序網(wǎng)站。舉例來說，存儲(chǔ)庫在描述中包含了幾個(gè)鏈接，引導(dǎo)用戶瀏覽欺詐網(wǎng)站。這個(gè)網(wǎng)站欺騙了毫無戒心的訪問者，承諾給他們買處方藥，但是后來卻偷走了他們的信用卡信息。

不像市場上傳統(tǒng)的安全掃描企業(yè)，JForg 從運(yùn)維檢測到開發(fā)人員，甚至是開發(fā)人員的工具，安全能力一路左移到開發(fā)人員，（IDE）。與此同時(shí)，由于設(shè)置了不同級別的阻隔，開發(fā)者可以根據(jù)公司戰(zhàn)略的阻隔升級修復(fù)漏洞版本，避免將漏洞傳遞到應(yīng)用后端。

王青表示，JFrog 在產(chǎn)品庫平臺(tái)上添加安全掃描工具，管理整個(gè)軟件供應(yīng)鏈的安全和軟件供應(yīng)鏈的供應(yīng)商。換言之，客戶R&D部門已經(jīng)使用 JFrog 產(chǎn)品庫，將自動(dòng)獲得安全掃描能力。這樣就降低了工具安全掃描維護(hù)和采購成本。此外，JFrog 不限用戶數(shù)量，切實(shí)可以幫助企業(yè)在安全掃描、產(chǎn)品管理、供應(yīng)鏈管理等方面提供統(tǒng)一的解決方案，而且非常劃算。

JFrog 為汽車、信創(chuàng)、企業(yè)出海等提供定制支持。

JFrog 為端到端提供支持全語言的R&D運(yùn)維平臺(tái)，為全球服務(wù) 7400 在東亞區(qū)的中國和日本，很多客戶都服務(wù)過。 500 家庭客戶，主要是各個(gè)領(lǐng)域的龍頭企業(yè)。超出 83% 的財(cái)富 100 強(qiáng)大的企業(yè)應(yīng)用 JFrog 的軟件。在中國和日本，JFrog 客戶主要分布在金融、制造和互聯(lián)網(wǎng)行業(yè)。最近幾年，JFrog 已經(jīng)在世界范圍內(nèi)完成 25% 業(yè)務(wù)增長，中國是亞太區(qū)增長最快的市場。

JFrog 日本大中華地區(qū)總經(jīng)理董任遠(yuǎn)表示，JFrog “中國的戰(zhàn)略是” in China，for China "。近年來，芯片、服務(wù)器、數(shù)據(jù)庫、中間件等產(chǎn)業(yè)化得到了中國市場越來越多的基礎(chǔ)架構(gòu)產(chǎn)品的支持。對于 JFrog 在中國，戰(zhàn)略就是用更合適的解決方案來適應(yīng)這類產(chǎn)品。過去的一年，JFrog 我們已經(jīng)完成了中國所有產(chǎn)品對國產(chǎn)信創(chuàng)產(chǎn)品的適應(yīng)，現(xiàn)在我們有很多客戶直接把它們 JFrog 應(yīng)用于其信創(chuàng)環(huán)境中。

JFrog 為中國市場提供商品優(yōu)化和定制支持。比如 JFrog 為了更好地滿足中國企業(yè)的蓬勃發(fā)展和企業(yè)出海的需要，對汽車行業(yè)提出了一些新的解決方案，尤其是在產(chǎn)品庫和安全領(lǐng)域，JFrog 全部提供定制支持。

閱讀更多熱門文章

加關(guān)注 星標(biāo)我們

把我們設(shè)為星標(biāo)，不要錯(cuò)過每一次更新！

喜歡就獎(jiǎng)勵(lì)一個(gè)“在看”！

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com