《2020年DevSecOps实践和开源管理报告》发布,40%受访者表示为解决开源漏洞而拖慢了交付计划
DevSecOps是在业界逐步普及的理念。从云计算到云原生,再到DevOps,每一次理念的转变都可能意味着开发流程的迭代。而安全是重要的基石,无论如何变革,都不容忽视。在不影响安全的情况下保持速度,将安全功能融入各个阶段。这种功能就是DevSecOps。
新思科技(Synopsys)宣布发布《2020年DevSecOps实践和开源管理报告》。该报告由新思科技网络安全研究中心(CyRC)总结制作,采访了1500名从事网络安全、软件开发、软件工程和Web开发的IT专业人员。该报告探讨了全球企业用于解决开源漏洞管理的策略以及日益严重的商业代码中过时或弃用的开源组件问题。
开源在当今的软件生态系统中扮演着至关重要的角色。绝大多数现代代码库都包含开源组件,开源通常占整个代码的70%或更多。然而,开源使用增长的同时,不受管理的开源带来的安全风险日益严重。实际上,《2020年开源安全和风险分析》报告(OSSRA)指出经过新思科技审计的代码库中,75%包含具有已知安全漏洞的开源组件。为了应对这种情况,受访者在审查新的开源代码组件时将识别已知的安全漏洞作为首要标准。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“很明显,未修补的漏洞是造成开发人员困扰以及最终导致业务风险的主要原因。《2020年DevSecOps实践和开源管理报告》强调了企业如何竭力有效地追踪和管理其开源风险。”
Tim Mackey接着说:“超过一半(51%)的受访者表示他们需要两至三周的时间来应用开源补丁,这可能与以下的情况有关系,仅仅38%的受访者使用自动的软件组件分析(SCA)工具来确定使用了哪些开源组件以及何时发布更新。其余的组织可能采用手动的操作流程来管理开源,这些可能会拖慢开发和运营团队的速度,迫使他们在平均每天发布数十个新的安全披露的环境下来追赶安全。”
《2020年DevSecOps实践和开源管理报告》中值得注意的其他要点包括:
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。