0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

生成式AI之下,软件供应链安全的升级更迫切

花茶晶晶 来源:电子发烧友网 作者:黄晶晶 2024-05-31 18:05 次阅读

电子发烧友网报道(文/黄晶晶)AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,但这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。可以说,全球软件供应链安全正面临着更大的挑战,AI爆发、大量应用程序的出现以及企业内部应用AI等诸多新事物无不考验着软件开发者的抗风险能力。

软件安全又面临新的问题


近日,JFrog公司的研究团队专门针对全球供应链安全问题经过CVE公共漏洞披露分析,并委托第三方机构调研1224名安全、开发、运维相关的从业人员,总结发布全球软件供应链发展报告。JFrog中国技术总监王青在媒体活动上进行了报告的专业解读。

报告指出,AI大模型不仅是前端的内容生成,还包括模型、数据集、Python脚本等在容器环境里的运行,这就需要后端软件供应链的支撑。王青表示,例如以前主要用C和C++语言进行开发,现在使用多种开发语言。那么企业会关注到很多语言包使用时隐藏的风险,以及面对已知的安全风险需要花费多长时间和成本进行安全修复等。

根据JFrog Catalog数据,Docker 和npm 是对包类型贡献最大的。软件包的数量不断增长,从而形成了一个日益庞大的软件供应链。垃圾邮件、恶意软件包和相关风险是新软件包和库中的自然组成部分,新版本的快速引入需要付出大量努力才能正确管理。

调研显示,92%的专业人士认为,他们的企业至少有一个解决方案监测恶意的开源包,89%的受访者表示,他们已经采用了OpenSSF SLSA的框架。这个框架为谷歌主导,是由开源软件安全基金会(OpenSourceSecurityFoundation)推广的一个软件供应链安全标准,该标准目前在国际上接受程度较高。在国内,目前也有一些企业在逐渐落地中。

在开发人员里,42%的人表示最好在代码编写期间执行安全扫描。此外,48%的受访者表示,他们代码扫描时是通手动检查代码,并非自动扫描。只有1%的受访者表示代码审查实现完全的自动化。



在报告中的安全实践部分,59%的企业在构建时进行安全扫描,编码时进行安全扫描的企业占比同样为59%,可见在开发阶段进行安全扫描的比例比较高。

最常用的应用程序安全解决方案部分,静态应用程序安全测试最多,占比61%。动态应用程序安全测试,由于耗时比较长,有58%的公司进行这一安全测试;同时,软件构成分析测试占比58%;56%的企业实现API安全扫描。



在互联网、Docker Hub上,JFrog调研了212个CVE样本。JFrog安全团队将85%的严重CVE和73%的高危CVE下调了评级。这就意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。

JFrog在Docker Hub里分析了最受欢迎的100个镜像,比如Tomcat、 Ubuntu、GDK这样的下载量最高的镜像,里面有很多CVSS评分的漏洞。在这些CVE漏洞中,JFrog的研究团队发现了一个重大的数据,74%的漏洞实际是不可被利用的。这74%经过JFrog扫描之后,显示这些漏洞可以被忽略,从而让研发从这些修复漏洞的工作中解放出来。

在对大模型AI领域进行调研时,90%的受访者表示他们的扫描工具支持AI;90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复;有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成,但是因为ChatGPT产生的代码可能存在漏洞,超过半数的人认为这一行为有风险。



王青说道,现在已有黑客利用大模型的“幻觉”来植入恶意的包。黑客会预置一些恶意的包,上传到Docker Hub去训练GPT模型,告诉它在回答什么样问题的时候,去把答案的链接指向恶意包的位置。通过这样的恶意训练,用户在不知情的情况下,可能会被引导到恶意的仓库去下载这个恶意包,因此它是有风险的。

JFrog安全扫描,阻断恶意内容


JFrog与Docker公司联合进行的调研后,进行了Docker Hub的恶意无镜像存储库的数据发布。JFrog在Docker Hub仓库里发现了460万个没有容器数据的Docker Hub 存储库(又名“无镜像”)。这些镜像存储库里没有镜像,但是绝大多数都是带着恶意目的,它们的概述页面试图欺骗用户访问钓鱼网站或托管着危险恶意软件的网站。比如,存储库在描述中包含了几个链接,引导用户访问一个钓鱼网站。该网站欺骗毫无戒心的访问者,承诺为他们购买处方药,但随后却窃取他们的信用卡信息



JFrog识别到了近300万个存储库托管过恶意内容,包括通过自动生成的账户上传的用于推广盗版内容的垃圾邮件,以及恶意软件和钓鱼网站等极度恶意的实体。在使用Docker镜像时,一定不能从Docker Hub随心所欲地下载。可以使用JFrog的Curation和Xray进行Docker扫描,保证镜像安全性和合规性。

JFrog Curation能够将Docker Hub的镜像恶意包阻断在公司内网之外,程序员无法下载恶意包进入到组织内部。若不小心进入到公司内网,还可以启用JFrog Xray安全扫描,立刻对有漏洞的镜像进行诊断。它是一种基于上下文的风险分析扫描,若漏洞不可被利用,则可以放行这个镜像的使用,因为它不会引起内部使用的安全问题。

与市面上传统的安全扫描公司不同,JForg的安全能力一路左移到开发者,从运维测试左移到开发者,甚至到开发者的工具(IDE)。同时,由于设置不同级别的阻断,开发人员可基于公司策略的阻断升级修复漏洞的版本,避免将漏洞传递到应用后端。

王青表示,JFrog为制品库平台加上安全扫描工具,管理的是整个软件供应链的安全和软件供应链的提供商。也就是说客户研发团队用了JFrog的制品库,就会自动获得安全扫描的能力。这就给客户减少了工具安全扫描维护和采购的成本。另外,JFrog不限制用户数,切实地能够帮助企业在安全扫描、制品管理、供应链管理上提供统一的解决方案,且极具性价比。

JFrog针对汽车、信创以及企业出海等提供定制化支持


JFrog提供端到端的支持全语言的开发运维平台,在全球服务7400多家客户,在东亚区的中国及日本,服务了超过500家客户,以各领域的头部企业居多。超过83%的财富100强企业应用了JFrog的软件。在中国及日本地区,JFrog客户主要分布于金融、制造业和互联网行业。过去几年,JFrog在全球实现了25%的业务增长,中国是亚太区增长最快的市场。

JFrog大中华和日本地区总经理董任远表示,JFrog在中国的战略是“in China,for China”。过去几年,中国市场越来越多的基础架构类产品都已经支持了国产化,其中包括芯片、服务器、数据库以及中间件等。对于JFrog来说,在中国的战略就是以更合适的解决方案适配这些产品。过去的一年,JFrog已经完成了在中国的全线产品针对于国产信创产品的适配,我们也有很多客户现在已经直接将JFrog应用到其信创环境当中。

JFrog针对中国市场提供产品的优化以及定制化的支持。比如JFrog针对汽车行业提出了一些新的解决方案,尤其是在制品库以及在安全领域上,为了更好地满足中国企业的高速发展以及企业出海的需求,JFrog都提供定制化的支持。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • AI
    AI
    +关注

    关注

    87

    文章

    30348

    浏览量

    268602
  • ChatGPT
    +关注

    关注

    29

    文章

    1550

    浏览量

    7545
  • 生成式AI
    +关注

    关注

    0

    文章

    492

    浏览量

    463
收藏 人收藏

    评论

    相关推荐

    智能制造装备行业的供应链特点分析

    智能制造装备行业供应链涉及多个环节,包括原材料采购、生产制造、物流配送和售后服务等,其特点包括复杂性与多样性、全球化与分散性、技术密集型和快速变化性。供应链面临的挑战包括数据孤岛、信息不对称、供应链中断风险和成本控制难度大等。
    的头像 发表于 11-28 10:15 106次阅读
    智能制造装备行业的<b class='flag-5'>供应链</b>特点分析

    活动回顾 艾体宝 开源软件供应链安全的最佳实践 线下研讨会圆满落幕!

    艾体宝与Mend举办研讨会,聚焦开源软件供应链安全,邀请行业专家分享合规管理、治理之路及最佳实践,圆桌讨论加深理解,助力企业安全稳健发展。
    的头像 发表于 10-30 17:52 462次阅读
    活动回顾 艾体宝 开源<b class='flag-5'>软件</b><b class='flag-5'>供应链</b><b class='flag-5'>安全</b>的最佳实践 线下研讨会圆满落幕!

    生成AI工具作用

    生成AI工具是指那些能够自动生成文本、图像、音频、视频等多种类型数据的人工智能技术。在此,petacloud.ai小编为您整理
    的头像 发表于 10-28 11:19 188次阅读

    数字孪生在供应链优化中的作用

    创建物理实体的精确数字副本,使得供应链的监控、预测和优化变得更加精确和高效。 一、数字孪生技术简介 数字孪生技术是一种集成了物联网(IoT)、大数据、云计算和人工智能(AI)等先进技术的概念。它通过收集物理实体的数
    的头像 发表于 10-25 14:56 355次阅读

    英伟达Blackwell AI服务器遭遇供应链挑战

    英伟达即将推出的Blackwell AI产品线正面临前所未有的供应链挑战,预示着其四季度市场供应或将受限。这款被寄予厚望的人工智能服务器系列,原计划通过集成前沿技术与创新方法引领市场变革,却不料在
    的头像 发表于 08-15 10:25 491次阅读

    英特尔助力京东云用CPU加速AI推理,以大模型构建数智化供应链

    英特尔助力京东云用CPU加速AI推理,以大模型构建数智化供应链
    的头像 发表于 05-27 11:50 517次阅读
    英特尔助力京东云用CPU加速<b class='flag-5'>AI</b>推理,以大模型构建数智化<b class='flag-5'>供应链</b>

    供应链确认华为P70开始供货

    供应链确认华为P70开始供货 华为P70的消息备受关注,供应链确认华为P70开始供货这或者预示着华为P70的发布时间已经提上日程,据悉华为P70在拍照方面有大升级,“AI 摄影”将是一
    的头像 发表于 03-25 14:34 864次阅读

    NVIDIA生成AI微服务助力企业在几秒内检测并解决软件安全问题

    得益于生成 AI软件正在编写软件
    的头像 发表于 03-21 09:41 338次阅读

    戴尔荣获Gartner供应链的最高荣誉“年度供应链突破奖”

    Gartner Power of the Profession供应链奖项由全球领先的研究顾问公司Gartner主办,至今已举办了10个年头。
    的头像 发表于 03-19 10:36 599次阅读
    戴尔荣获Gartner<b class='flag-5'>供应链</b>的最高荣誉“年度<b class='flag-5'>供应链</b>突破奖”

    掌控供应链,决胜市场:SCM供应链管理系统的战略意义

    SCM供应链管理系统是现代企业管理中的重要组成部分,它通过整合和优化供应链中的各个环节,实现企业资源的高效利用和协同运作。
    的头像 发表于 03-06 10:54 388次阅读

    美国商务部调查供应链

    来源:Silicon Semiconductor 商务部采取行动支持美国半导体供应链,保护美国国家安全。 美国商务部将于2024年1月启动一项新调查,该调查将为持续分析更广泛的美国半导体供应链
    的头像 发表于 01-05 17:25 618次阅读

    工业交换机与供应链网络的融合,优化智能供应链管理

    随着全球贸易的快速发展,供应链管理在现代企业运营中起着至关重要的作用。而工业交换机与供应链网络的融合,不仅可以提高供应链的可靠性、灵活性和效率,还能为企业带来更大的竞争优势。本文将深入探讨工业交换机与
    的头像 发表于 12-27 09:28 478次阅读

    BYD新能源汽车核心供应链介绍

    垂直供应链体系是比亚迪的特色,将来自给率会下降,逐渐加大开放力度。公司自建供应链,自主研发电池、电机、电控等核心零部件,覆盖核心零部件的自研自产自销全部环节,打造了垂直供应链体系。
    的头像 发表于 12-11 16:56 1883次阅读

    制品仓智能化管理,引领数字化时代的软件供应链变革

    在当今数字化转型的浪潮中,企业软件供应链的卓越管理成为业务成功的关键。华为云 CodeArts Artifact 以其智能化的管理和多样化的服务方式,为企业提供了一场软件供应链的数字化
    的头像 发表于 12-11 11:36 1215次阅读
    制品仓智能化管理,引领数字化时代的<b class='flag-5'>软件</b><b class='flag-5'>供应链</b>变革

    数字化时代的软件供应链管理新标杆 - 华为云制品仓 CodeArts Artifact

    的技术,为企业提供全方位、高效的软件供应链解决方案。 全面升级软件供应链管理 CodeArts Artifact 以其全面
    的头像 发表于 12-11 09:08 903次阅读
    数字化时代的<b class='flag-5'>软件</b><b class='flag-5'>供应链</b>管理新标杆 - 华为云制品仓 CodeArts Artifact