作者:新思科技软件质量与安全部门高级安全架构师杨国梁
安全已被视为应用程序软件开发中最具挑战性的一部分。无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战,在网络不法分子发起攻击前就提前做好防护,避免敏感数据被盗。
现在是数据时代,数据的储存和处理与软件密不可分。在当今的数字世界里,信息数据已经成为很多企业必不可少的经济生产工具。与此同时,提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失,并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施,所有的注意力会集中在补救工作以及损害控制上,那就为时已晚。
那么企业面临的主要安全挑战是什么呢?如何克服?根据新思科技的观察和从客户那里得到的反馈,企业面临的主要挑战有以下六种:
网络安全职位人才短缺,薪水很可观。在美国,信息安全分析师在2018年的平均年薪为98350美元,而收入最高的25%分析师的工资接近127000美元。而且,根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看,IT行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全,优秀的软件安全专才的薪资也会水涨船高。
黑客在不断琢磨访问企业系统最简单的方法。不幸地是,即使您一直在定期测试应用程序,但因为内部资源有限,缺乏时间、技能或工具,从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时,他们可能会无意间继承其技术债,其中包括安全漏洞和缺陷。
大多数公司不再遵循固定的发布周期。取而代之的是,持续集成和持续交付(CI/CD)已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响,应用程序安全的编码必须能够协调和解决。
企业不仅需要处理大量频率不同的应用程序发布计划,也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队,但是业务需求激增,那企业只能很仓促地测试并清理代码。或者更糟的是,企业只能在软件发布后打补丁。
每种安全测试工具都有不同的优势,没有哪一款工具可以捕获一切漏洞。如果预算和资源限制,企业只能使用一个或两个安全测试工具,那就可能会错过关键漏洞。而且,如果没有能力复现和确认问题,企业可能会在误报上花费大量时间。
应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现,而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。
面对以上软件安全挑战,企业可以做些什么?
部署软件安全计划不是一件简单的事情,有些企业会望而却步。幸运的是,还是有许多方法可以克服这些应用程序安全挑战。
比如,托管服务可以减轻安全负担,凭借按需提供的安全测试专业知识,识别业务重大漏洞,降低信息泄露风险。托管服务可以填补企业的安全资源缺口,根据当下需要选择所需的测试,包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。
确保软件安全任重道远,无论是购买工具进行检测还是使用专业的托管服务,新思科技都建议企业在软件创建之初做好防护,做到安全“左移”,并贯穿在整个软件开发生命周期。
好文章,需要你的鼓励
这项研究介绍了一种名为FlowPathAgent的神经符号代理系统,用于解决流程图归因问题。研究团队提出了流程图精细归因这一新任务,构建了FlowExplainBench评估基准,并开发了结合视觉分割、符号图构建和基于代理的图形推理的方法。实验表明,该方法在归因准确性上比现有基线提高了10-14%,特别在处理复杂流程图时表现出色,为提升人工智能系统在处理结构化视觉-文本信息时的可靠性和可解释性提供了新途径。
这项研究首次从神经元层面揭示了大型语言模型(LLM)评估中的"数据污染"机制。研究团队发现当模型在训练中接触过测试数据时,会形成特定的"捷径神经元",使模型无需真正理解问题就能给出正确答案。他们提出了一种新方法,通过识别并抑制这些神经元(仅占模型总神经元的约1%),成功恢复了模型的真实能力表现。实验证明,该方法与权威可信基准测试结果高度一致(相关系数>0.95),并在不同基准和参数设置下都表现出色,为解决LLM评估可信度问题提供了低成本且有效的解决方案。
这份来自向量研究所、康奈尔大学和格罗宁根大学研究团队的综述分析了基于大语言模型的代理型多智能体系统中的信任、风险和安全管理框架(TRiSM)。研究系统地探讨了代理型AI从概念基础到安全挑战,提出了包含治理、可解释性、模型运营和隐私/安全四大支柱的TRiSM框架。文章还详细分析了威胁向量、风险分类,并通过真实案例研究展示了潜在脆弱性。
这项研究提出了一种名为ConfiG的创新方法,通过生成针对性的数据增强样本来解决知识蒸馏中的协变量偏移问题。研究团队利用教师模型和学生模型之间的预测差异,引导扩散模型生成那些能挑战学生模型的样本,从而减少模型对训练数据中欺骗性特征的依赖。实验表明,该方法在CelebA、SpuCo Birds和Spurious ImageNet数据集上显著提升了模型在缺失组别上的性能,为资源受限环境下的AI应用提供了实用解决方案。