近两年,全球网络安全相关法律法规密集出台并正式实施,这标志着网络安全产业已经迎来新拐点,网络安全也越来越受到重视。
不稳定性已经成为了新常态,而且网络安全挑战仍然持续存在。一方面新技术不断涌现,应用场景更加多元化;另一方面,安全威胁相伴相生,甚至其中一些安全问题会爆发在令人意想不到的领域。很多企业都在加强对软件安全和技术供应链的审查。在新的一年到来之际,新思科技与大家分享观察到的新兴趋势,希望能帮助企业在推进软件安全计划时做出更加明智的决策。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“人工智能已从一项有前景的技术迅速发展成为 IT 和消费等几乎所有领域的主流。因此,人工智能驱动系统的安全性将成为开发和安全团队的另一个重要目标,因为他们了解针对人工智能的算法操作的性质和范围。”
随着供应链攻击越来越严重,大家对软件物料清单(SBOM)的关注度也有所提升。根据最新版本的软件安全构建成熟度模型(BSIMM)——BSIMM12,在过去24个月,软件物料清单活动增加了 367%。
新思科技首席科学家Sammy Migues表示:“2022年,更多企业希望掌握他们的软件有哪些组件。企业将要求供应商说明应用和设备中的所有软件、软件来源、软件如何构建和测试以及维护。”
过去,AppSec 被视为业务进展的障碍。 现在,企业开始意识到 AppSec 与构建、部署和运行软件的方式密不可分。
新思科技高级安全策略师Jonathan Knudsen表示:“企业开始认识到 AppSec 是风险管理的关键部分,并且正确实施 AppSec 计划会带来商业利益。 成功的 AppSec 意味着更少的软件漏洞,这意味着更低的风险,生产力以及客户满意度也会更高。”
另外,在 AppSec 领域,企业一直在采用静态分析工具、交互式应用安全测试工具和软件组成分析工具等,以期快速做出决策并培养DevSecOps文化。企业不想浪费开发人员的时间来梳理大量重复的缺陷信息,或修复不可利用的缺陷。 因此,整合来自多个工具的结果并提供优先级的缺陷列表将成为优先事项。
在未来一年,网络安全意识培训对于各种形式和规模的企业预防网络攻击仍然至关重要。
新思科技软件质量与安全部门安全工程师Amit Sharma表示:“随着越来越多企业采用云解决方案,云安全策略将在未来几个月到几年内日益成熟。自动化和配置可以有助于保护云端的敏感数据。我们将看到 Kubernetes 等编排技术的使用持续增加,并且对容器和 Kubernetes 安全解决方案的需求也会增加。”
新思科技软件质量与安全部门亚太区客户服务总监Ian Hall表示:“基础设施即代码已经存在多年,但亚太地区的采用速度相比其它地区较慢,预计这种情况将在 2022 年发生变化。现在,基础设施即代码与云原生架构都已经是常态化。因此,企业将需要重新审视已实施的安全计划,以防在迁移到新架构时,以往的策略变得没有效用。 这些技术变革意味着需要对员工加强培训,以便他们具备有效支持和保护系统所需的技能。”
2021年,许多汽车行业网络安全标准出台,包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和TR-68:3。专注于开源软件安全性的OpenChain ISO 5230也已发布。此外,还有更多相关的标准正在制定,包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有这些不同的标准和技术参考为汽车行业提供指导,以制造更安全的汽车。
新思科技首席汽车安全策略师Dennis Kengo Oka博士表示:“2022 年,我们将看到汽车行业继续采用以上这些标准和技术参考。主要活动包括建立新的网络安全政策和流程、雇用安全人员并分配网络安全角色和职责,以及在企业中开展网络安全活动。我们还期待看到更简化的工作流程。”
中国在2021年陆续颁布的《数据安全法》和《个人信息保护法》,有助于规范数据处理活动,保障数据安全,以及更加有效地保护个人隐私。
新思科技中国区软件应用安全技术总监杨国梁表示:“最近几年,全球各地都陆续推出数据保护有关的法律法规。软件企业在合规方面的投入也在加大。在BSIMM12报告中,77%的受访者表示已经将合规约束转变为需求。这有助于提高审计时的可追溯性和可视性。在未来,合规在软件质量与安全管理中重要性将越来越高。”
推进数字化转型,才能真正赋能高质量发展。现在,数字化转型已经成为中国乃至全球各大产业的必答题。这离不开软件的驱动和应用。因此,软件是否安全直接关乎到数字化转型的成功与否。无论是为了提升效率,还是为了合规,软件安全不可忽视;无论是企业,还是消费者,对软件安全的关注度只会有增无减。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。