生成式AI之下，軟件供應(yīng)鏈安全的升級(jí)更迫切

電子發(fā)燒友網(wǎng)報(bào)道（文/黃晶晶）AI大模型不僅能夠文生圖、文生視頻、人機(jī)對(duì)話(huà)等，還能夠幫助開(kāi)發(fā)人員寫(xiě)代碼，但這又出現(xiàn)另一個(gè)問(wèn)題，ChatGPT產(chǎn)生的代碼也可能存在漏洞?？梢哉f(shuō)，全球軟件供應(yīng)鏈安全正面臨著更大的挑戰(zhàn)，AI爆發(fā)、大量應(yīng)用程序的出現(xiàn)以及企業(yè)內(nèi)部應(yīng)用AI等諸多新事物無(wú)不考驗(yàn)著軟件開(kāi)發(fā)者的抗風(fēng)險(xiǎn)能力。

軟件安全又面臨新的問(wèn)題

近日，JFrog公司的研究團(tuán)隊(duì)專(zhuān)門(mén)針對(duì)全球供應(yīng)鏈安全問(wèn)題經(jīng)過(guò)CVE公共漏洞披露分析，并委托第三方機(jī)構(gòu)調(diào)研1224名安全、開(kāi)發(fā)、運(yùn)維相關(guān)的從業(yè)人員，總結(jié)發(fā)布全球軟件供應(yīng)鏈發(fā)展報(bào)告。JFrog中國(guó)技術(shù)總監(jiān)王青在媒體活動(dòng)上進(jìn)行了報(bào)告的專(zhuān)業(yè)解讀。

報(bào)告指出，AI大模型不僅是前端的內(nèi)容生成，還包括模型、數(shù)據(jù)集、Python腳本等在容器環(huán)境里的運(yùn)行，這就需要后端軟件供應(yīng)鏈的支撐。王青表示，例如以前主要用C和C++語(yǔ)言進(jìn)行開(kāi)發(fā)，現(xiàn)在使用多種開(kāi)發(fā)語(yǔ)言。那么企業(yè)會(huì)關(guān)注到很多語(yǔ)言包使用時(shí)隱藏的風(fēng)險(xiǎn)，以及面對(duì)已知的安全風(fēng)險(xiǎn)需要花費(fèi)多長(zhǎng)時(shí)間和成本進(jìn)行安全修復(fù)等。

根據(jù)JFrog Catalog數(shù)據(jù)，Docker 和npm 是對(duì)包類(lèi)型貢獻(xiàn)最大的。軟件包的數(shù)量不斷增長(zhǎng)，從而形成了一個(gè)日益龐大的軟件供應(yīng)鏈。垃圾郵件、惡意軟件包和相關(guān)風(fēng)險(xiǎn)是新軟件包和庫(kù)中的自然組成部分，新版本的快速引入需要付出大量努力才能正確管理。

調(diào)研顯示，92%的專(zhuān)業(yè)人士認(rèn)為，他們的企業(yè)至少有一個(gè)解決方案監(jiān)測(cè)惡意的開(kāi)源包，89%的受訪(fǎng)者表示，他們已經(jīng)采用了OpenSSF SLSA的框架。這個(gè)框架為谷歌主導(dǎo)，是由開(kāi)源軟件安全基金會(huì)（OpenSourceSecurityFoundation）推廣的一個(gè)軟件供應(yīng)鏈安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)目前在國(guó)際上接受程度較高。在國(guó)內(nèi)，目前也有一些企業(yè)在逐漸落地中。

在開(kāi)發(fā)人員里，42%的人表示最好在代碼編寫(xiě)期間執(zhí)行安全掃描。此外，48%的受訪(fǎng)者表示，他們代碼掃描時(shí)是通手動(dòng)檢查代碼，并非自動(dòng)掃描。只有1%的受訪(fǎng)者表示代碼審查實(shí)現(xiàn)完全的自動(dòng)化。



在報(bào)告中的安全實(shí)踐部分，59%的企業(yè)在構(gòu)建時(shí)進(jìn)行安全掃描，編碼時(shí)進(jìn)行安全掃描的企業(yè)占比同樣為59%，可見(jiàn)在開(kāi)發(fā)階段進(jìn)行安全掃描的比例比較高。

最常用的應(yīng)用程序安全解決方案部分，靜態(tài)應(yīng)用程序安全測(cè)試最多，占比61%。動(dòng)態(tài)應(yīng)用程序安全測(cè)試，由于耗時(shí)比較長(zhǎng)，有58%的公司進(jìn)行這一安全測(cè)試；同時(shí)，軟件構(gòu)成分析測(cè)試占比58%；56%的企業(yè)實(shí)現(xiàn)API安全掃描。



在互聯(lián)網(wǎng)、Docker Hub上，JFrog調(diào)研了212個(gè)CVE樣本。JFrog安全團(tuán)隊(duì)將85%的嚴(yán)重CVE和73%的高危CVE下調(diào)了評(píng)級(jí)。這就意味著研發(fā)團(tuán)隊(duì)能夠避免付出額外精力關(guān)注漏洞分?jǐn)?shù)虛高的漏洞。

JFrog在Docker Hub里分析了最受歡迎的100個(gè)鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評(píng)分的漏洞。在這些CVE漏洞中，JFrog的研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)重大的數(shù)據(jù)，74%的漏洞實(shí)際是不可被利用的。這74%經(jīng)過(guò)JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發(fā)從這些修復(fù)漏洞的工作中解放出來(lái)。

在對(duì)大模型AI領(lǐng)域進(jìn)行調(diào)研時(shí)，90%的受訪(fǎng)者表示他們的掃描工具支持AI；90%的受訪(fǎng)者在某種程度上支持AI的工具來(lái)協(xié)助安全掃描或修復(fù)；有32%的企業(yè)受訪(fǎng)者表示大部分人可以使用Copilot等AI工具協(xié)助代碼生成，但是因?yàn)镃hatGPT產(chǎn)生的代碼可能存在漏洞，超過(guò)半數(shù)的人認(rèn)為這一行為有風(fēng)險(xiǎn)。



王青說(shuō)道，現(xiàn)在已有黑客利用大模型的“幻覺(jué)”來(lái)植入惡意的包。黑客會(huì)預(yù)置一些惡意的包，上傳到Docker Hub去訓(xùn)練GPT模型，告訴它在回答什么樣問(wèn)題的時(shí)候，去把答案的鏈接指向惡意包的位置。通過(guò)這樣的惡意訓(xùn)練，用戶(hù)在不知情的情況下，可能會(huì)被引導(dǎo)到惡意的倉(cāng)庫(kù)去下載這個(gè)惡意包，因此它是有風(fēng)險(xiǎn)的。

JFrog安全掃描，阻斷惡意內(nèi)容

JFrog與Docker公司聯(lián)合進(jìn)行的調(diào)研后，進(jìn)行了Docker Hub的惡意無(wú)鏡像存儲(chǔ)庫(kù)的數(shù)據(jù)發(fā)布。JFrog在Docker Hub倉(cāng)庫(kù)里發(fā)現(xiàn)了460萬(wàn)個(gè)沒(méi)有容器數(shù)據(jù)的Docker Hub 存儲(chǔ)庫(kù)（又名“無(wú)鏡像”）。這些鏡像存儲(chǔ)庫(kù)里沒(méi)有鏡像，但是絕大多數(shù)都是帶著惡意目的，它們的概述頁(yè)面試圖欺騙用戶(hù)訪(fǎng)問(wèn)釣魚(yú)網(wǎng)站或托管著危險(xiǎn)惡意軟件的網(wǎng)站。比如，存儲(chǔ)庫(kù)在描述中包含了幾個(gè)鏈接，引導(dǎo)用戶(hù)訪(fǎng)問(wèn)一個(gè)釣魚(yú)網(wǎng)站。該網(wǎng)站欺騙毫無(wú)戒心的訪(fǎng)問(wèn)者，承諾為他們購(gòu)買(mǎi)處方藥，但隨后卻竊取他們的信用卡信息。



JFrog識(shí)別到了近300萬(wàn)個(gè)存儲(chǔ)庫(kù)托管過(guò)惡意內(nèi)容，包括通過(guò)自動(dòng)生成的賬戶(hù)上傳的用于推廣盜版內(nèi)容的垃圾郵件，以及惡意軟件和釣魚(yú)網(wǎng)站等極度惡意的實(shí)體。在使用Docker鏡像時(shí)，一定不能從Docker Hub隨心所欲地下載。可以使用JFrog的Curation和Xray進(jìn)行Docker掃描，保證鏡像安全性和合規(guī)性。

JFrog Curation能夠?qū)ocker Hub的鏡像惡意包阻斷在公司內(nèi)網(wǎng)之外，程序員無(wú)法下載惡意包進(jìn)入到組織內(nèi)部。若不小心進(jìn)入到公司內(nèi)網(wǎng)，還可以啟用JFrog Xray安全掃描，立刻對(duì)有漏洞的鏡像進(jìn)行診斷。它是一種基于上下文的風(fēng)險(xiǎn)分析掃描，若漏洞不可被利用，則可以放行這個(gè)鏡像的使用，因?yàn)樗粫?huì)引起內(nèi)部使用的安全問(wèn)題。

與市面上傳統(tǒng)的安全掃描公司不同，JForg的安全能力一路左移到開(kāi)發(fā)者，從運(yùn)維測(cè)試左移到開(kāi)發(fā)者，甚至到開(kāi)發(fā)者的工具（IDE）。同時(shí)，由于設(shè)置不同級(jí)別的阻斷，開(kāi)發(fā)人員可基于公司策略的阻斷升級(jí)修復(fù)漏洞的版本，避免將漏洞傳遞到應(yīng)用后端。

王青表示，JFrog為制品庫(kù)平臺(tái)加上安全掃描工具，管理的是整個(gè)軟件供應(yīng)鏈的安全和軟件供應(yīng)鏈的提供商。也就是說(shuō)客戶(hù)研發(fā)團(tuán)隊(duì)用了JFrog的制品庫(kù)，就會(huì)自動(dòng)獲得安全掃描的能力。這就給客戶(hù)減少了工具安全掃描維護(hù)和采購(gòu)的成本。另外，JFrog不限制用戶(hù)數(shù)，切實(shí)地能夠幫助企業(yè)在安全掃描、制品管理、供應(yīng)鏈管理上提供統(tǒng)一的解決方案，且極具性?xún)r(jià)比。

JFrog針對(duì)汽車(chē)、信創(chuàng)以及企業(yè)出海等提供定制化支持

JFrog提供端到端的支持全語(yǔ)言的開(kāi)發(fā)運(yùn)維平臺(tái)，在全球服務(wù)7400多家客戶(hù)，在東亞區(qū)的中國(guó)及日本，服務(wù)了超過(guò)500家客戶(hù)，以各領(lǐng)域的頭部企業(yè)居多。超過(guò)83%的財(cái)富100強(qiáng)企業(yè)應(yīng)用了JFrog的軟件。在中國(guó)及日本地區(qū)，JFrog客戶(hù)主要分布于金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。過(guò)去幾年，JFrog在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長(zhǎng)，中國(guó)是亞太區(qū)增長(zhǎng)最快的市場(chǎng)。

JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)表示，JFrog在中國(guó)的戰(zhàn)略是“in China，for China”。過(guò)去幾年，中國(guó)市場(chǎng)越來(lái)越多的基礎(chǔ)架構(gòu)類(lèi)產(chǎn)品都已經(jīng)支持了國(guó)產(chǎn)化，其中包括芯片、服務(wù)器、數(shù)據(jù)庫(kù)以及中間件等。對(duì)于JFrog來(lái)說(shuō)，在中國(guó)的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過(guò)去的一年，JFrog已經(jīng)完成了在中國(guó)的全線(xiàn)產(chǎn)品針對(duì)于國(guó)產(chǎn)信創(chuàng)產(chǎn)品的適配，我們也有很多客戶(hù)現(xiàn)在已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境當(dāng)中。

JFrog針對(duì)中國(guó)市場(chǎng)提供產(chǎn)品的優(yōu)化以及定制化的支持。比如JFrog針對(duì)汽車(chē)行業(yè)提出了一些新的解決方案，尤其是在制品庫(kù)以及在安全領(lǐng)域上，為了更好地滿(mǎn)足中國(guó)企業(yè)的高速發(fā)展以及企業(yè)出海的需求，JFrog都提供定制化的支持。