電子發(fā)燒友網(wǎng)報(bào)道(文/黃晶晶)AI大模型不僅能夠文生圖、文生視頻、人機(jī)對(duì)話(huà)等,還能夠幫助開(kāi)發(fā)人員寫(xiě)代碼,但這又出現(xiàn)另一個(gè)問(wèn)題,ChatGPT產(chǎn)生的代碼也可能存在漏洞??梢哉f(shuō),全球軟件供應(yīng)鏈安全正面臨著更大的挑戰(zhàn),AI爆發(fā)、大量應(yīng)用程序的出現(xiàn)以及企業(yè)內(nèi)部應(yīng)用AI等諸多新事物無(wú)不考驗(yàn)著軟件開(kāi)發(fā)者的抗風(fēng)險(xiǎn)能力。
軟件安全又面臨新的問(wèn)題
近日,JFrog公司的研究團(tuán)隊(duì)專(zhuān)門(mén)針對(duì)全球供應(yīng)鏈安全問(wèn)題經(jīng)過(guò)CVE公共漏洞披露分析,并委托第三方機(jī)構(gòu)調(diào)研1224名安全、開(kāi)發(fā)、運(yùn)維相關(guān)的從業(yè)人員,總結(jié)發(fā)布全球軟件供應(yīng)鏈發(fā)展報(bào)告。JFrog中國(guó)技術(shù)總監(jiān)王青在媒體活動(dòng)上進(jìn)行了報(bào)告的專(zhuān)業(yè)解讀。
報(bào)告指出,AI大模型不僅是前端的內(nèi)容生成,還包括模型、數(shù)據(jù)集、Python腳本等在容器環(huán)境里的運(yùn)行,這就需要后端軟件供應(yīng)鏈的支撐。王青表示,例如以前主要用C和C++語(yǔ)言進(jìn)行開(kāi)發(fā),現(xiàn)在使用多種開(kāi)發(fā)語(yǔ)言。那么企業(yè)會(huì)關(guān)注到很多語(yǔ)言包使用時(shí)隱藏的風(fēng)險(xiǎn),以及面對(duì)已知的安全風(fēng)險(xiǎn)需要花費(fèi)多長(zhǎng)時(shí)間和成本進(jìn)行安全修復(fù)等。
根據(jù)JFrog Catalog數(shù)據(jù),Docker 和npm 是對(duì)包類(lèi)型貢獻(xiàn)最大的。軟件包的數(shù)量不斷增長(zhǎng),從而形成了一個(gè)日益龐大的軟件供應(yīng)鏈。垃圾郵件、惡意軟件包和相關(guān)風(fēng)險(xiǎn)是新軟件包和庫(kù)中的自然組成部分,新版本的快速引入需要付出大量努力才能正確管理。
調(diào)研顯示,92%的專(zhuān)業(yè)人士認(rèn)為,他們的企業(yè)至少有一個(gè)解決方案監(jiān)測(cè)惡意的開(kāi)源包,89%的受訪(fǎng)者表示,他們已經(jīng)采用了OpenSSF SLSA的框架。這個(gè)框架為谷歌主導(dǎo),是由開(kāi)源軟件安全基金會(huì)(OpenSourceSecurityFoundation)推廣的一個(gè)軟件供應(yīng)鏈安全標(biāo)準(zhǔn),該標(biāo)準(zhǔn)目前在國(guó)際上接受程度較高。在國(guó)內(nèi),目前也有一些企業(yè)在逐漸落地中。
在開(kāi)發(fā)人員里,42%的人表示最好在代碼編寫(xiě)期間執(zhí)行安全掃描。此外,48%的受訪(fǎng)者表示,他們代碼掃描時(shí)是通手動(dòng)檢查代碼,并非自動(dòng)掃描。只有1%的受訪(fǎng)者表示代碼審查實(shí)現(xiàn)完全的自動(dòng)化。
在報(bào)告中的安全實(shí)踐部分,59%的企業(yè)在構(gòu)建時(shí)進(jìn)行安全掃描,編碼時(shí)進(jìn)行安全掃描的企業(yè)占比同樣為59%,可見(jiàn)在開(kāi)發(fā)階段進(jìn)行安全掃描的比例比較高。
最常用的應(yīng)用程序安全解決方案部分,靜態(tài)應(yīng)用程序安全測(cè)試最多,占比61%。動(dòng)態(tài)應(yīng)用程序安全測(cè)試,由于耗時(shí)比較長(zhǎng),有58%的公司進(jìn)行這一安全測(cè)試;同時(shí),軟件構(gòu)成分析測(cè)試占比58%;56%的企業(yè)實(shí)現(xiàn)API安全掃描。
在互聯(lián)網(wǎng)、Docker Hub上,JFrog調(diào)研了212個(gè)CVE樣本。JFrog安全團(tuán)隊(duì)將85%的嚴(yán)重CVE和73%的高危CVE下調(diào)了評(píng)級(jí)。這就意味著研發(fā)團(tuán)隊(duì)能夠避免付出額外精力關(guān)注漏洞分?jǐn)?shù)虛高的漏洞。
JFrog在Docker Hub里分析了最受歡迎的100個(gè)鏡像,比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像,里面有很多CVSS評(píng)分的漏洞。在這些CVE漏洞中,JFrog的研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)重大的數(shù)據(jù),74%的漏洞實(shí)際是不可被利用的。這74%經(jīng)過(guò)JFrog掃描之后,顯示這些漏洞可以被忽略,從而讓研發(fā)從這些修復(fù)漏洞的工作中解放出來(lái)。
在對(duì)大模型AI領(lǐng)域進(jìn)行調(diào)研時(shí),90%的受訪(fǎng)者表示他們的掃描工具支持AI;90%的受訪(fǎng)者在某種程度上支持AI的工具來(lái)協(xié)助安全掃描或修復(fù);有32%的企業(yè)受訪(fǎng)者表示大部分人可以使用Copilot等AI工具協(xié)助代碼生成,但是因?yàn)镃hatGPT產(chǎn)生的代碼可能存在漏洞,超過(guò)半數(shù)的人認(rèn)為這一行為有風(fēng)險(xiǎn)。
王青說(shuō)道,現(xiàn)在已有黑客利用大模型的“幻覺(jué)”來(lái)植入惡意的包。黑客會(huì)預(yù)置一些惡意的包,上傳到Docker Hub去訓(xùn)練GPT模型,告訴它在回答什么樣問(wèn)題的時(shí)候,去把答案的鏈接指向惡意包的位置。通過(guò)這樣的惡意訓(xùn)練,用戶(hù)在不知情的情況下,可能會(huì)被引導(dǎo)到惡意的倉(cāng)庫(kù)去下載這個(gè)惡意包,因此它是有風(fēng)險(xiǎn)的。
JFrog安全掃描,阻斷惡意內(nèi)容
JFrog與Docker公司聯(lián)合進(jìn)行的調(diào)研后,進(jìn)行了Docker Hub的惡意無(wú)鏡像存儲(chǔ)庫(kù)的數(shù)據(jù)發(fā)布。JFrog在Docker Hub倉(cāng)庫(kù)里發(fā)現(xiàn)了460萬(wàn)個(gè)沒(méi)有容器數(shù)據(jù)的Docker Hub 存儲(chǔ)庫(kù)(又名“無(wú)鏡像”)。這些鏡像存儲(chǔ)庫(kù)里沒(méi)有鏡像,但是絕大多數(shù)都是帶著惡意目的,它們的概述頁(yè)面試圖欺騙用戶(hù)訪(fǎng)問(wèn)釣魚(yú)網(wǎng)站或托管著危險(xiǎn)惡意軟件的網(wǎng)站。比如,存儲(chǔ)庫(kù)在描述中包含了幾個(gè)鏈接,引導(dǎo)用戶(hù)訪(fǎng)問(wèn)一個(gè)釣魚(yú)網(wǎng)站。該網(wǎng)站欺騙毫無(wú)戒心的訪(fǎng)問(wèn)者,承諾為他們購(gòu)買(mǎi)處方藥,但隨后卻竊取他們的信用卡信息。
JFrog識(shí)別到了近300萬(wàn)個(gè)存儲(chǔ)庫(kù)托管過(guò)惡意內(nèi)容,包括通過(guò)自動(dòng)生成的賬戶(hù)上傳的用于推廣盜版內(nèi)容的垃圾郵件,以及惡意軟件和釣魚(yú)網(wǎng)站等極度惡意的實(shí)體。在使用Docker鏡像時(shí),一定不能從Docker Hub隨心所欲地下載。可以使用JFrog的Curation和Xray進(jìn)行Docker掃描,保證鏡像安全性和合規(guī)性。
JFrog Curation能夠?qū)ocker Hub的鏡像惡意包阻斷在公司內(nèi)網(wǎng)之外,程序員無(wú)法下載惡意包進(jìn)入到組織內(nèi)部。若不小心進(jìn)入到公司內(nèi)網(wǎng),還可以啟用JFrog Xray安全掃描,立刻對(duì)有漏洞的鏡像進(jìn)行診斷。它是一種基于上下文的風(fēng)險(xiǎn)分析掃描,若漏洞不可被利用,則可以放行這個(gè)鏡像的使用,因?yàn)樗粫?huì)引起內(nèi)部使用的安全問(wèn)題。
與市面上傳統(tǒng)的安全掃描公司不同,JForg的安全能力一路左移到開(kāi)發(fā)者,從運(yùn)維測(cè)試左移到開(kāi)發(fā)者,甚至到開(kāi)發(fā)者的工具(IDE)。同時(shí),由于設(shè)置不同級(jí)別的阻斷,開(kāi)發(fā)人員可基于公司策略的阻斷升級(jí)修復(fù)漏洞的版本,避免將漏洞傳遞到應(yīng)用后端。
王青表示,JFrog為制品庫(kù)平臺(tái)加上安全掃描工具,管理的是整個(gè)軟件供應(yīng)鏈的安全和軟件供應(yīng)鏈的提供商。也就是說(shuō)客戶(hù)研發(fā)團(tuán)隊(duì)用了JFrog的制品庫(kù),就會(huì)自動(dòng)獲得安全掃描的能力。這就給客戶(hù)減少了工具安全掃描維護(hù)和采購(gòu)的成本。另外,JFrog不限制用戶(hù)數(shù),切實(shí)地能夠幫助企業(yè)在安全掃描、制品管理、供應(yīng)鏈管理上提供統(tǒng)一的解決方案,且極具性?xún)r(jià)比。
JFrog針對(duì)汽車(chē)、信創(chuàng)以及企業(yè)出海等提供定制化支持
JFrog提供端到端的支持全語(yǔ)言的開(kāi)發(fā)運(yùn)維平臺(tái),在全球服務(wù)7400多家客戶(hù),在東亞區(qū)的中國(guó)及日本,服務(wù)了超過(guò)500家客戶(hù),以各領(lǐng)域的頭部企業(yè)居多。超過(guò)83%的財(cái)富100強(qiáng)企業(yè)應(yīng)用了JFrog的軟件。在中國(guó)及日本地區(qū),JFrog客戶(hù)主要分布于金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。過(guò)去幾年,JFrog在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長(zhǎng),中國(guó)是亞太區(qū)增長(zhǎng)最快的市場(chǎng)。
JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)表示,JFrog在中國(guó)的戰(zhàn)略是“in China,for China”。過(guò)去幾年,中國(guó)市場(chǎng)越來(lái)越多的基礎(chǔ)架構(gòu)類(lèi)產(chǎn)品都已經(jīng)支持了國(guó)產(chǎn)化,其中包括芯片、服務(wù)器、數(shù)據(jù)庫(kù)以及中間件等。對(duì)于JFrog來(lái)說(shuō),在中國(guó)的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過(guò)去的一年,JFrog已經(jīng)完成了在中國(guó)的全線(xiàn)產(chǎn)品針對(duì)于國(guó)產(chǎn)信創(chuàng)產(chǎn)品的適配,我們也有很多客戶(hù)現(xiàn)在已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境當(dāng)中。
JFrog針對(duì)中國(guó)市場(chǎng)提供產(chǎn)品的優(yōu)化以及定制化的支持。比如JFrog針對(duì)汽車(chē)行業(yè)提出了一些新的解決方案,尤其是在制品庫(kù)以及在安全領(lǐng)域上,為了更好地滿(mǎn)足中國(guó)企業(yè)的高速發(fā)展以及企業(yè)出海的需求,JFrog都提供定制化的支持。
-
AI
+關(guān)注
關(guān)注
87文章
29359瀏覽量
267647 -
ChatGPT
+關(guān)注
關(guān)注
28文章
1523瀏覽量
7249 -
生成式AI
+關(guān)注
關(guān)注
0文章
472瀏覽量
436
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論