女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

生成式AI之下,軟件供應(yīng)鏈安全的升級更迫切

花茶晶晶 ? 來源:電子發(fā)燒友網(wǎng) ? 作者:黃晶晶 ? 2024-05-31 18:05 ? 次閱讀

電子發(fā)燒友網(wǎng)報道(文/黃晶晶)AI大模型不僅能夠文生圖、文生視頻、人機對話等,還能夠幫助開發(fā)人員寫代碼,但這又出現(xiàn)另一個問題,ChatGPT產(chǎn)生的代碼也可能存在漏洞。可以說,全球軟件供應(yīng)鏈安全正面臨著更大的挑戰(zhàn),AI爆發(fā)、大量應(yīng)用程序的出現(xiàn)以及企業(yè)內(nèi)部應(yīng)用AI等諸多新事物無不考驗著軟件開發(fā)者的抗風險能力。

軟件安全又面臨新的問題


近日,JFrog公司的研究團隊專門針對全球供應(yīng)鏈安全問題經(jīng)過CVE公共漏洞披露分析,并委托第三方機構(gòu)調(diào)研1224名安全、開發(fā)、運維相關(guān)的從業(yè)人員,總結(jié)發(fā)布全球軟件供應(yīng)鏈發(fā)展報告。JFrog中國技術(shù)總監(jiān)王青在媒體活動上進行了報告的專業(yè)解讀。

報告指出,AI大模型不僅是前端的內(nèi)容生成,還包括模型、數(shù)據(jù)集、Python腳本等在容器環(huán)境里的運行,這就需要后端軟件供應(yīng)鏈的支撐。王青表示,例如以前主要用C和C++語言進行開發(fā),現(xiàn)在使用多種開發(fā)語言。那么企業(yè)會關(guān)注到很多語言包使用時隱藏的風險,以及面對已知的安全風險需要花費多長時間和成本進行安全修復等。

根據(jù)JFrog Catalog數(shù)據(jù),Docker 和npm 是對包類型貢獻最大的。軟件包的數(shù)量不斷增長,從而形成了一個日益龐大的軟件供應(yīng)鏈。垃圾郵件、惡意軟件包和相關(guān)風險是新軟件包和庫中的自然組成部分,新版本的快速引入需要付出大量努力才能正確管理。

調(diào)研顯示,92%的專業(yè)人士認為,他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包,89%的受訪者表示,他們已經(jīng)采用了OpenSSF SLSA的框架。這個框架為谷歌主導,是由開源軟件安全基金會(OpenSourceSecurityFoundation)推廣的一個軟件供應(yīng)鏈安全標準,該標準目前在國際上接受程度較高。在國內(nèi),目前也有一些企業(yè)在逐漸落地中。

在開發(fā)人員里,42%的人表示最好在代碼編寫期間執(zhí)行安全掃描。此外,48%的受訪者表示,他們代碼掃描時是通手動檢查代碼,并非自動掃描。只有1%的受訪者表示代碼審查實現(xiàn)完全的自動化。



在報告中的安全實踐部分,59%的企業(yè)在構(gòu)建時進行安全掃描,編碼時進行安全掃描的企業(yè)占比同樣為59%,可見在開發(fā)階段進行安全掃描的比例比較高。

最常用的應(yīng)用程序安全解決方案部分,靜態(tài)應(yīng)用程序安全測試最多,占比61%。動態(tài)應(yīng)用程序安全測試,由于耗時比較長,有58%的公司進行這一安全測試;同時,軟件構(gòu)成分析測試占比58%;56%的企業(yè)實現(xiàn)API安全掃描。



在互聯(lián)網(wǎng)、Docker Hub上,JFrog調(diào)研了212個CVE樣本。JFrog安全團隊將85%的嚴重CVE和73%的高危CVE下調(diào)了評級。這就意味著研發(fā)團隊能夠避免付出額外精力關(guān)注漏洞分數(shù)虛高的漏洞。

JFrog在Docker Hub里分析了最受歡迎的100個鏡像,比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像,里面有很多CVSS評分的漏洞。在這些CVE漏洞中,JFrog的研究團隊發(fā)現(xiàn)了一個重大的數(shù)據(jù),74%的漏洞實際是不可被利用的。這74%經(jīng)過JFrog掃描之后,顯示這些漏洞可以被忽略,從而讓研發(fā)從這些修復漏洞的工作中解放出來。

在對大模型AI領(lǐng)域進行調(diào)研時,90%的受訪者表示他們的掃描工具支持AI;90%的受訪者在某種程度上支持AI的工具來協(xié)助安全掃描或修復;有32%的企業(yè)受訪者表示大部分人可以使用Copilot等AI工具協(xié)助代碼生成,但是因為ChatGPT產(chǎn)生的代碼可能存在漏洞,超過半數(shù)的人認為這一行為有風險。



王青說道,現(xiàn)在已有黑客利用大模型的“幻覺”來植入惡意的包。黑客會預置一些惡意的包,上傳到Docker Hub去訓練GPT模型,告訴它在回答什么樣問題的時候,去把答案的鏈接指向惡意包的位置。通過這樣的惡意訓練,用戶在不知情的情況下,可能會被引導到惡意的倉庫去下載這個惡意包,因此它是有風險的。

JFrog安全掃描,阻斷惡意內(nèi)容


JFrog與Docker公司聯(lián)合進行的調(diào)研后,進行了Docker Hub的惡意無鏡像存儲庫的數(shù)據(jù)發(fā)布。JFrog在Docker Hub倉庫里發(fā)現(xiàn)了460萬個沒有容器數(shù)據(jù)的Docker Hub 存儲庫(又名“無鏡像”)。這些鏡像存儲庫里沒有鏡像,但是絕大多數(shù)都是帶著惡意目的,它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險惡意軟件的網(wǎng)站。比如,存儲庫在描述中包含了幾個鏈接,引導用戶訪問一個釣魚網(wǎng)站。該網(wǎng)站欺騙毫無戒心的訪問者,承諾為他們購買處方藥,但隨后卻竊取他們的信用卡信息。



JFrog識別到了近300萬個存儲庫托管過惡意內(nèi)容,包括通過自動生成的賬戶上傳的用于推廣盜版內(nèi)容的垃圾郵件,以及惡意軟件和釣魚網(wǎng)站等極度惡意的實體。在使用Docker鏡像時,一定不能從Docker Hub隨心所欲地下載??梢允褂肑Frog的Curation和Xray進行Docker掃描,保證鏡像安全性和合規(guī)性。

JFrog Curation能夠?qū)ocker Hub的鏡像惡意包阻斷在公司內(nèi)網(wǎng)之外,程序員無法下載惡意包進入到組織內(nèi)部。若不小心進入到公司內(nèi)網(wǎng),還可以啟用JFrog Xray安全掃描,立刻對有漏洞的鏡像進行診斷。它是一種基于上下文的風險分析掃描,若漏洞不可被利用,則可以放行這個鏡像的使用,因為它不會引起內(nèi)部使用的安全問題。

與市面上傳統(tǒng)的安全掃描公司不同,JForg的安全能力一路左移到開發(fā)者,從運維測試左移到開發(fā)者,甚至到開發(fā)者的工具(IDE)。同時,由于設(shè)置不同級別的阻斷,開發(fā)人員可基于公司策略的阻斷升級修復漏洞的版本,避免將漏洞傳遞到應(yīng)用后端。

王青表示,JFrog為制品庫平臺加上安全掃描工具,管理的是整個軟件供應(yīng)鏈的安全和軟件供應(yīng)鏈的提供商。也就是說客戶研發(fā)團隊用了JFrog的制品庫,就會自動獲得安全掃描的能力。這就給客戶減少了工具安全掃描維護和采購的成本。另外,JFrog不限制用戶數(shù),切實地能夠幫助企業(yè)在安全掃描、制品管理、供應(yīng)鏈管理上提供統(tǒng)一的解決方案,且極具性價比。

JFrog針對汽車、信創(chuàng)以及企業(yè)出海等提供定制化支持


JFrog提供端到端的支持全語言的開發(fā)運維平臺,在全球服務(wù)7400多家客戶,在東亞區(qū)的中國及日本,服務(wù)了超過500家客戶,以各領(lǐng)域的頭部企業(yè)居多。超過83%的財富100強企業(yè)應(yīng)用了JFrog的軟件。在中國及日本地區(qū),JFrog客戶主要分布于金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。過去幾年,JFrog在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長,中國是亞太區(qū)增長最快的市場。

JFrog大中華和日本地區(qū)總經(jīng)理董任遠表示,JFrog在中國的戰(zhàn)略是“in China,for China”。過去幾年,中國市場越來越多的基礎(chǔ)架構(gòu)類產(chǎn)品都已經(jīng)支持了國產(chǎn)化,其中包括芯片、服務(wù)器、數(shù)據(jù)庫以及中間件等。對于JFrog來說,在中國的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過去的一年,JFrog已經(jīng)完成了在中國的全線產(chǎn)品針對于國產(chǎn)信創(chuàng)產(chǎn)品的適配,我們也有很多客戶現(xiàn)在已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境當中。

JFrog針對中國市場提供產(chǎn)品的優(yōu)化以及定制化的支持。比如JFrog針對汽車行業(yè)提出了一些新的解決方案,尤其是在制品庫以及在安全領(lǐng)域上,為了更好地滿足中國企業(yè)的高速發(fā)展以及企業(yè)出海的需求,JFrog都提供定制化的支持。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • AI
    AI
    +關(guān)注

    關(guān)注

    87

    文章

    34280

    瀏覽量

    275466
  • ChatGPT
    +關(guān)注

    關(guān)注

    29

    文章

    1588

    瀏覽量

    8807
  • 生成式AI
    +關(guān)注

    關(guān)注

    0

    文章

    528

    瀏覽量

    706
收藏 人收藏

    評論

    相關(guān)推薦
    熱點推薦

    SAP與亞馬遜云科技推出AI聯(lián)合創(chuàng)新計劃,打造生成AI解決方案,助力客戶應(yīng)對市場波動與供應(yīng)鏈復雜性

    企業(yè)認識到生成AI具有變革業(yè)務(wù)的潛力,卻苦于無從入手。通過將先進的生成AI技術(shù)與核心系統(tǒng)中的
    的頭像 發(fā)表于 05-26 16:54 ?128次閱讀

    SAP與亞馬遜云科技推出AI聯(lián)合創(chuàng)新計劃,打造生成AI解決方案, 助力客戶應(yīng)對市場波動與供應(yīng)鏈復雜性

    認識到生成AI具有變革業(yè)務(wù)的潛力,卻苦于無從入手。通過將先進的生成AI技術(shù)與核心系統(tǒng)中的企業(yè)
    發(fā)表于 05-26 11:44 ?803次閱讀

    萬里紅推出供應(yīng)鏈軟件安全解決方案

    上,正式發(fā)布了萬里紅供應(yīng)鏈軟件安全解決方案,為數(shù)字時代信息安全提供體系化的軟件供應(yīng)鏈
    的頭像 發(fā)表于 05-19 16:13 ?279次閱讀

    安博電子:全路品控體系賦能供應(yīng)鏈安全

    檢測、智能交付的全路品控體系,安博電子不僅能確保電子元器件的高可靠性與一致性,更以高透明的供應(yīng)鏈管理模式,助力客戶降低風險、提升運營效率,推動行業(yè)標準升級,與全球
    的頭像 發(fā)表于 04-07 17:03 ?335次閱讀
    安博電子:全<b class='flag-5'>鏈</b>路品控體系賦能<b class='flag-5'>供應(yīng)鏈</b><b class='flag-5'>安全</b>

    安富利:供應(yīng)鏈強則企業(yè)強

    外圍局勢風云變幻的當下,供應(yīng)鏈安全與穩(wěn)定受到前所未有的重視。對于注重持續(xù)創(chuàng)新的硬科技企業(yè)而言,情況更是如此。面對復雜多變的市場環(huán)境,硬科技企業(yè)能夠破浪前行、韌性增長的“武功秘籍”之一,正是供應(yīng)鏈
    發(fā)表于 03-25 18:09 ?201次閱讀
    安富利:<b class='flag-5'>供應(yīng)鏈</b>強則企業(yè)強

    中交興路AI技術(shù)助推供應(yīng)鏈物流自動化、數(shù)字化、智能化

    的發(fā)展趨勢、滲透路徑與行業(yè)案例。憑借物流AI科技創(chuàng)新及領(lǐng)域深耕,中交興路圍繞供應(yīng)鏈物流自動化、數(shù)字化及智能化多業(yè)務(wù)版塊的行業(yè)實踐,入選報告創(chuàng)新科技圖譜及產(chǎn)品方案集,與此同時,公司還榮獲羅戈網(wǎng)頒發(fā)的“2024 LOG供應(yīng)鏈物流科技
    的頭像 發(fā)表于 02-21 15:43 ?425次閱讀

    AI大模型在工業(yè)領(lǐng)域的供應(yīng)鏈管理方向的應(yīng)用

    AI 大模型在工業(yè)領(lǐng)域的供應(yīng)鏈管理中具有精準預測、個性化需求預測、動態(tài)實時調(diào)整和供應(yīng)商管理風險評估與預警等功能,幫助企業(yè)提高供應(yīng)鏈效率和應(yīng)對市場變化。
    的頭像 發(fā)表于 02-14 11:40 ?483次閱讀
    <b class='flag-5'>AI</b>大模型在工業(yè)領(lǐng)域的<b class='flag-5'>供應(yīng)鏈</b>管理方向的應(yīng)用

    東軟獲《電信和互聯(lián)網(wǎng)軟件供應(yīng)鏈安全能力成熟度模型》第三等級認證

    近日,東軟憑借其在軟件供應(yīng)鏈安全領(lǐng)域的卓越表現(xiàn),成功通過了《電信和互聯(lián)網(wǎng)軟件供應(yīng)鏈安全能力成熟度
    的頭像 發(fā)表于 01-15 17:31 ?681次閱讀

    利用Minitab應(yīng)對供應(yīng)鏈中斷問題

    供應(yīng)鏈中斷是不可避免的,但積極的措施和數(shù)據(jù)驅(qū)動的戰(zhàn)略可以減輕其影響。Minitab全面的數(shù)據(jù)分析和問題解決工具使組織能夠分析、優(yōu)化和調(diào)整其供應(yīng)鏈,以應(yīng)對不可預見的挑戰(zhàn),確保面對中斷時的彈性和連續(xù)性。
    的頭像 發(fā)表于 01-02 17:16 ?398次閱讀

    紫光同芯榮獲金融科技供應(yīng)鏈安全示范機構(gòu)

    的創(chuàng)新引領(lǐng)作用。紫光同芯榮獲由北京國家金融科技認證中心頒發(fā)的“金融科技供應(yīng)鏈安全示范機構(gòu)”證書,在金融科技供應(yīng)鏈安全管理和安全生態(tài)建設(shè)中發(fā)揮
    的頭像 發(fā)表于 12-25 17:08 ?567次閱讀

    Amazon Bedrock全新升級,引領(lǐng)生成AI應(yīng)用新紀元

    高性能基礎(chǔ)模型,助力客戶輕松構(gòu)建和擴展生成人工智能應(yīng)用程序。此次升級的新功能,不僅提升了服務(wù)的實用性,更為客戶帶來了前所未有的體驗。 首先,新發(fā)布的AI防護功能能夠有效防止模型幻覺,
    的頭像 發(fā)表于 12-24 11:43 ?589次閱讀

    智能制造裝備行業(yè)的供應(yīng)鏈特點分析

    智能制造裝備行業(yè)供應(yīng)鏈涉及多個環(huán)節(jié),包括原材料采購、生產(chǎn)制造、物流配送和售后服務(wù)等,其特點包括復雜性與多樣性、全球化與分散性、技術(shù)密集型和快速變化性。供應(yīng)鏈面臨的挑戰(zhàn)包括數(shù)據(jù)孤島、信息不對稱、供應(yīng)鏈中斷風險和成本控制難度大等。
    的頭像 發(fā)表于 11-28 10:15 ?741次閱讀
    智能制造裝備行業(yè)的<b class='flag-5'>供應(yīng)鏈</b>特點分析

    活動回顧 艾體寶 開源軟件供應(yīng)鏈安全的最佳實踐 線下研討會圓滿落幕!

    艾體寶與Mend舉辦研討會,聚焦開源軟件供應(yīng)鏈安全,邀請行業(yè)專家分享合規(guī)管理、治理之路及最佳實踐,圓桌討論加深理解,助力企業(yè)安全穩(wěn)健發(fā)展。
    的頭像 發(fā)表于 10-30 17:52 ?758次閱讀
    活動回顧 艾體寶 開源<b class='flag-5'>軟件</b><b class='flag-5'>供應(yīng)鏈</b><b class='flag-5'>安全</b>的最佳實踐 線下研討會圓滿落幕!

    數(shù)字孿生在供應(yīng)鏈優(yōu)化中的作用

    創(chuàng)建物理實體的精確數(shù)字副本,使得供應(yīng)鏈的監(jiān)控、預測和優(yōu)化變得更加精確和高效。 一、數(shù)字孿生技術(shù)簡介 數(shù)字孿生技術(shù)是一種集成了物聯(lián)網(wǎng)(IoT)、大數(shù)據(jù)、云計算和人工智能(AI)等先進技術(shù)的概念。它通過收集物理實體的數(shù)
    的頭像 發(fā)表于 10-25 14:56 ?994次閱讀

    英偉達Blackwell AI服務(wù)器遭遇供應(yīng)鏈挑戰(zhàn)

    英偉達即將推出的Blackwell AI產(chǎn)品線正面臨前所未有的供應(yīng)鏈挑戰(zhàn),預示著其四季度市場供應(yīng)或?qū)⑹芟蕖_@款被寄予厚望的人工智能服務(wù)器系列,原計劃通過集成前沿技術(shù)與創(chuàng)新方法引領(lǐng)市場變革,卻不料在
    的頭像 發(fā)表于 08-15 10:25 ?765次閱讀