开源许可证冲突和漏洞风险有所下降,但88%的被审代码库中包含未更新开源组件
开源安全问题仍然充满挑战,比如供应链攻击、黑客利用Docker镜像的攻击等。2021年底,被广泛采用的Apache Log4j程序中新发现的零日漏洞。这个被称为Log4Shell (CVE-2021-44228) 的Log4j漏洞允许攻击者在受影响的服务器上执行任意代码。随后,企业和政府机构被迫重新审视如何使用和保护主要由无偿志愿者创建和维护的开源软件。该漏洞的发现还暴露了许多企业根本不知道其软件中使用了多少开源代码的问题。需要注意的是,产生业务风险的并不是开源软件本身,而是对开源软件的不当管理。
新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心 (CyRC) 编制,分析了由Black Duck®审计服务团队执行的对2,400多项商业和专有代码库的并购交易审计结果。该报告强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
2022年OSSRA报告强调,开源组件在每个行业都被广泛使用,并且是当今所有应用程序的构建基础。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“使用软件组成分析(SCA)工具的用户已经将重点放在减少开源许可证冲突和解决高风险漏洞上。得益于此,我们今年可以看到许可证冲突问题和高风险漏洞数量已经减少。但是我们不能忽略,经过审计的代码库中有超过一半仍然存在许可证冲突,近一半包含高风险漏洞。更令人不安的是,88%被审代码库中包含过时版本的开源组件。而且往往这些组件有可用的更新版本或补丁,但没有被采用。”
Tim Mackey指出:“没有将软件升级到最新版本的理由有很多。但是,如果企业没有一份清单,准确列明其在代码使用的开源组件,那过时的组件可能就会被遗忘;直到变成一个易受攻击的高风险漏洞,企业才慌忙查找这个组件用在哪里,然后去进行更新。这正是Log4j面临的情况。这也是软件供应链和软件物料清单(software Bill of Materials, SBOM)成为当下行业热点的原因。”
下载2022年OSSRA报告。
好文章,需要你的鼓励
卢森堡大学研究团队开发的RLDP框架首次将强化学习应用于差分隐私优化,创造性地解决了AI训练中隐私保护与模型效果的矛盾。该方法如同智能教练,能动态调整隐私保护策略,在四种语言模型上实现平均5.6%的性能提升和71%的训练时间缩短,同时增强了抗隐私攻击能力,为敏感数据的AI应用开辟了新路径。
这项由北京大学人工智能研究院完成的研究,首次从数据压缩理论角度揭示了大型语言模型存在"弹性"现象——即使经过精心安全对齐,模型仍倾向于保持预训练时的行为分布。
腾讯混元团队联合北京大学提出MixGRPO技术,通过混合ODE-SDE采样策略和滑动窗口机制,将AI图像生成训练效率提升50%-71%,同时在多项人类偏好评估指标上超越现有方法。该技术采用"从难到易"的渐进优化策略,专注于图像生成早期阶段的重点优化,并引入高阶求解器进一步加速训练过程,为AI图像生成的产业化应用提供了更高效可行的解决方案。